リソース共有への招待の受け入れと拒否 - AWS Resource Access Manager

リソース共有への招待の受け入れと拒否

共有リソースにアクセスするには、リソース共有の所有者に自分をプリンシパルとして追加してもらう必要があります。所有者は以下のいずれかをプリンシパルとしてリソース共有に追加できます。

  • 自分のアカウントが属する組織

  • 自分のアカウントを含む組織単位 (OU)

  • 自分の個人アカウント

  • サポートされているリソースタイプの場合、自分の IAM ロールまたはユーザー

組織で共有が有効になっており、AWS Organizations の組織のメンバーである AWS アカウント を介して共有リソースに追加されたユーザーは、招待を受け入れなくても自動的に共有リソースにアクセスできるようになります。サービスプリンシパルは、招待を受け入れることなく、共有リソースに自動的にアクセスすることもできます。その後、招待元のアカウントが組織から削除された場合、そのアカウントのすべてのプリンシパルは、リソース共有からアクセス可能なリソースへのアクセスを自動的に失います。

以下のいずれかによって自分がリソース共有に追加された場合、リソース共有に参加するための招待状を受け取ります。

  • AWS Organizations の組織外のアカウント

  • 組織内のアカウント (AWS Organizations との共有が有効になっていない場合)

リソース共有の招待状を受け取った場合、共有リソースへのアクセス権を得るには、その招待を受け入れる必要があります。招待を辞退した場合、共有リソースにアクセスすることはできません。

次のリソースタイプについては、7 日以内に共有への招待を受け入れる必要があります。7 日以内に招待を受け入れない場合、招待は期限切れになり、自動的に辞退したことになります。

重要

以下のリストに含まれていない共有リソースタイプについては、12 時間以内にリソース共有への招待を受け入れる必要があります。12 時間が経過すると、招待は期限切れになり、リソース共有のエンドユーザープリンシパルとの関連付けが解除されます。エンドユーザーは招待を受け入れることができなくなります。

  • Amazon Aurora – DB クラスター

  • Amazon EC2 — キャパシティ予約と専有ホスト

  • AWS License Manager – ライセンス設定

  • AWS Outposts - ローカルゲートウェイルートテーブル、アウトポスト、サイト

  • Amazon Route 53 – 転送ルール

  • Amazon VPC — カスタマーが所有する IPv4 アドレス、プレフィックスリスト、サブネット、トラフィックミラーターゲット、トランジットゲートウェイ、トランジットゲートウェイマルチキャストドメイン

Console
リソース共有の招待に応答するには

  1. AWS RAM コンソールで [Shared with me : Resource shares] (自分と共有: リソース共有) に移動します。

  2. AWS RAM リソース共有は特定の AWS リージョン 内に存在するので、コンソール右上のドロップダウンリストから適切な AWS リージョン を選択してください。グローバルリソースを含むリソース共有を表示するには、AWS リージョンを米国東部 (バージニア北部) (us-east-1) に設定する必要があります。グローバルリソース共有の詳細については、「リージョナルリソースの共有とグローバルリソースの共有の比較」を参照してください。

  3. 自分が追加された先のリソース共有のリストを見直します。

    [Status] (ステータス) 列は、リソース共有の現在の参加ステータスを示します。Pending ステータスは、受信者がリソース共有に追加されたけれども招待を受け入れても拒否してもいないことを示します。

  4. リソース共有の招待に応答するには、リソース共有 ID を選択し、[Accept resource share] (リソース共有を承諾する) または [Reject resource share] (リソース共有を拒否する) を選択します。招待を拒否すると、リソースにアクセスできなくなります。招待を受け入れると、リソースにアクセスできます。

AWS CLI
リソース共有の招待に応答するには

以下のコマンドを使用して、リソース共有への招待を受け入れるか拒否できます。

  1. 次の例では、get-resource-share-invitations コマンドを使用して、ユーザーの AWS アカウント で利用可能なすべての招待のリストを取得します。AWS CLI query パラメータを付けると、statusPENDING に設定されている招待状のみに出力を制限できます。この例では、アカウント 111111111111 から送られた 1 通の招待状が、指定された AWS リージョン の現在のアカウント PENDING123456789012 であることを示しています。

    $ aws ram get-resource-share-invitations \
    --region us-east-1 \
    --query 'resourceShareInvitations[?status==`PENDING`]'
{
    "resourceShareInvitations": [
        {
            "resourceShareInvitationArn": "arn:aws:ram:us-east-1:111111111111:resource-share-invitation/3b3bc051-fbf6-4336-8377-06c559dfee49",
            "resourceShareName": "Test TrngAcct Resource Share",
            "resourceShareArn": "arn:aws:ram:us-east-1:111111111111:resource-share/c4506c70-df75-4e6c-ac30-42ca03295a37",
            "senderAccountId": "111111111111",
            "receiverAccountId": "123456789012",
            "invitationTimestamp": "2021-09-21T08:56:24.977000-07:00",
            "status": "PENDING"
        }
    ]
}

  2. 受け入れたい招待状が見つかったら、次のコマンドで承諾できるように出力の resourceShareInvitationArn を書き留めます。

    $ aws ram accept-resource-share-invitation \
    --region us-east-1 \
    --resource-share-invitation-arn arn:aws:ram:us-east-1:111111111111:resource-share-invitation/3b3bc051-fbf6-4336-8377-06c559dfee49
{
    "resourceShareInvitation": {
        "resourceShareInvitationArn": "arn:aws:ram:us-east-1:111111111111:resource-share-invitation/3b3bc051-fbf6-4336-8377-06c559dfee49",
        "resourceShareName": "Test TrngAcct Resource Share",
        "resourceShareArn": "arn:aws:ram:us-east-1:111111111111:resource-share/c4506c70-df75-4e6c-ac30-42ca03295a37",
        "senderAccountId": "111111111111",
        "receiverAccountId": "123456789012",
        "invitationTimestamp": "2021-09-21T09:18:24.545000-07:00",
        "status": "ACCEPTED"
    }
}

    成功した場合、statusPENDING から ACCEPTED に変わったというレスポンスが示されます。

代わりに、招待を拒否したければ、同じパラメータを付けて reject-resource-share-invitation コマンドを使用します。

$ aws ram reject-resource-share-invitation \
    --region us-east-1 \
    --resource-share-invitation-arn arn:aws:ram:us-east-1:111111111111:resource-share-invitation/3b3bc051-fbf6-4336-8377-06c559dfee49
{
    "resourceShareInvitation": {
        "resourceShareInvitationArn": "arn:aws:ram:us-east-1:111111111111:resource-share-invitation/3b3bc051-fbf6-4336-8377-06c559dfee49",
        "resourceShareName": "Test TrngAcct Resource Share",
        "resourceShareArn": "arn:aws:ram:us-east-1:111111111111:resource-share/c4506c70-df75-4e6c-ac30-42ca03295a37",
        "senderAccountId": "111111111111",
        "receiverAccountId": "123456789012",
        "invitationTimestamp": "2021-09-21T09:18:24.545000-07:00",
        "status": "REJECTED"
    }
}