翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Resource Explorer の用語と概念
AWS Resource Explorer はリソース検索および発見サービスです。Resource Explorer では、インターネット検索エンジンのようなエクスペリエンスを使用してリソースを検索できます。名前、タグ、ID などのリソースのメタデータを使用して、Amazon Elastic Compute Cloud インスタンス、Amazon Kinesis ストリーム、Amazon DynamoDB テーブルなどのリソースを検索できます。Resource Explorer はアカウント全体の AWS リージョン で機能し、クロスリージョンのワークロードをシンプルにします。
Resource Explorer は、AWS Resource Explorer サービスによって作成および管理されるインデックスを使用して、検索クエリに迅速に応答します。Resource Explorer は、さまざまなデータソースを使用して、AWS アカウント 内のリソースに関する情報を収集します。Resource Explorer は、その情報を Resource Explorer が検索できるように各インデックスに保存します。
ユーザーが適切に AWS Resource Explorer を管理および設定できるようにするには、管理者が次の概念を理解する必要があります。
**Topics**
+ [Resource Explorer 管理者](#term-admin)
+ [Resource Explorer ユーザー](#term-user)
+ [[Index] (インデックス)](#term-index)
+ [ビュー](#term-view)
+ [[リソース]](#term-resource)
+ [AWS マネジメントコンソール での統合検索](#term-unified-search)
+ [マルチアカウント検索](#term-multi-account-search)
次の図は、管理者が Resource Explorer を有効にした 3 つの AWS リージョン と、管理者が Resource Explorer を有効にしないことを選択した 1 つのリージョンを示します。Resource Explorer が有効になっていないリージョンにはインデックスがありません。そのため、Resource Explorer のクエリではそのリージョンのリソースを検索できません。
このシナリオ例では、管理者は米国西部 (オレゴン) リージョン (`us-west-2`) にそのアカウントのアグリゲーターインデックスを格納するよう選択しました。有効にしたすべてのリージョンのローカルインデックスが、アグリゲーターインデックスのあるリージョンにリプリケートされます。
Resource Explorer によって作成されるデフォルトビューにはフィルターがありません。したがって、このビューで検索する結果には、そのアカウントで Resource Explorer がオンになっているすべてのリージョンのあらゆる種類のリソースが含まれます。
![\[4 つのリージョン:Resource Explorer はそのうち 3 つのリージョンに登録。デフォルトビュー、アグリゲーターインデックス、または AWS アカウント は 1 つのリージョンに登録。\]](http://docs.aws.amazon.com/ja_jp/resource-explorer/latest/userguide/images/AREX-Overview.png)
| |
| --- |
| 凡例 |
| ![\[Gear icon with magnifying glass, representing system configuration or search settings.\]](http://docs.aws.amazon.com/ja_jp/resource-explorer/latest/userguide/images/AREX-Activated-Icon.png) | Resource Explorer はこの AWS リージョン でオンになっており、そのリージョンのリソースに関する情報はそのリージョンのローカルインデックスに保存されます。各リージョンのローカルインデックスは、アグリゲーターインデックスを含むリージョンにもリプリケート (矢印で示す)されます。 |
| ![\[Notebook icon representing a document or file with lined pages.\]](http://docs.aws.amazon.com/ja_jp/resource-explorer/latest/userguide/images/Global-Index-Icon.png) | この AWS リージョン 内のインデックスが、アカウントのアグリゲーターインデックスになるように設定されています。Resource Explorer は、Resource Explorer がオンになっている他のすべてのリージョンのローカルインデックスで収集されるリソース情報を、このリージョンのアグリゲーターインデックスにリプリケートします。このリージョンで行われる検索には、アカウント内のすべてのリージョンからの結果が含まれます。 |
| ![\[Blue square border with white interior, representing a placeholder for an image.\]](http://docs.aws.amazon.com/ja_jp/resource-explorer/latest/userguide/images/Default-Search-Scope.png) | [Quick Setup] で作成されるデフォルトビューには、AWS リージョン 内のすべてのリソースが含まれます。 |
## Resource Explorer 管理者
Resource Explorer の管理者は、組織内または AWS アカウント 。Resource Explorer 管理者は以下の機能を設定できます。
+ AWS アカウント 内の各 AWS リージョン について、それぞれのリージョンのインデックスを作成することで Resource Explorer を有効にします。これにより、Resource Explorer はリソースを検出し、そのリソースに関する情報をインデックスに入力して、ユーザーがそのリージョンのリソースを検索できるようにします。
+ 1 つの AWS リージョン のインデックスタイプが、その AWS アカウント の[アグリゲーターインデックス](#term-index)になるように更新します。このリージョンのアグリゲーターインデックスは、アカウント内で Resource Explorer がオンになっている他のすべてのリージョンからのリソース情報のリプリケートコピーを受け取ります。
+ ユーザーが Resource Explorer で検索し発見できるインデックス付き情報のサブセットを定義する[ビュー](#term-view)を作成します。
+ Resource Explorer のアクションには含まれていませんが、Resource Explorer 管理者はアカウント内の各プリンシパルに検索権限を付与する権限も持っている必要もあります。管理者は、必要なアクセス許可を既存の IAM アクセス許可ポリシーに追加するか、[Resource Explorer の読み取り専用 AWS マネージドポリシー](security_iam_awsmanpol.md#security_iam_awsmanpol_AWSResourceExplorerReadOnlyAccess)を使用することで、これらのアクセス許可をプリンシパルに付与できます。
アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ AWS IAM アイデンティティセンター のユーザーとグループ:
アクセス許可セットを作成します。「**AWS IAM アイデンティティセンター ユーザーガイド」の「[アクセス許可一式を作成](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順を実行します。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については、「**IAM ユーザーガイド」の「[サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html)」を参照してください。
+ IAM ユーザー:
+ ユーザーに設定できるロールを作成します。手順については、「**IAM ユーザーガイド」の「[IAM ユーザー用ロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)」を参照してください。
+ (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。「*IAM ユーザーガイド*」の「[ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」の指示に従います。
管理者は通常、インデックスやビューを含むすべての Resource Explorer リソースに対するすべての Resource Explorer 権限 (`resource-explorer-2:*`) を持っています。これらの権限は、[Resource Explorer のフルアクセス AWS マネージドポリシー](security_iam_awsmanpol.md#security_iam_awsmanpol_AWSResourceExplorerFullAccess)を使用して付与することができます。
## Resource Explorer ユーザー
Resource Explorer のユーザーは、次の 1 つ以上のタスクを実行する権限を持つ IAM プリンシパルです。
+ ビューを使用してリソースを検索することにより Resource Explorer にクエリを実行します。Resource Explorer ユーザーは、AWS リソースの検索と発見を行うため、通常は Resource Explorer コンソール、または AWS SDK または AWS CLI が提供する Resource Explorer `Search` 操作を使用します。
ロールまたはユーザーは、次の 2 つの手段のいずれかにより検索に必要な IAM get 権限を使用できます。
+ その IAM ロール、グループまたはユーザーに対する [Resource Explorer の読み取り専用 AWS マネージドポリシー](security_iam_awsmanpol.md#security_iam_awsmanpol_AWSResourceExplorerReadOnlyAccess)。
+ その IAM ロール、グループ、またはユーザーに対する以下の最小限の権限を含むステートメントを含む IAM アクセス許可ポリシー。
```
{
"Effect": "Allow",
"Action": [
"resource-explorer-2:Search",
"resource-explorer-2:GetView",
"Resource": ""
}
```
+ 一般的には管理者タスクと見なされますが、ビューの作成を定義する権限を信頼できるユーザーに委任することができます。そのために、管理者は関連するロール、グループ、またはユーザーにアタッチされた IAM アクセス許可ポリシーで `resource-explorer-2:CreateView` 操作を呼び出す権限を付与できます。ビューに特定の権限が必要な場合は、関連するユーザーの IAM ポリシーを追加または変更するためのプロビジョニングを行う必要があります。
Resource Explorer を使用してリソースを検索する方法については、[AWS Resource Explorer を用いたリソースの検索](using-search.md) を参照してください。
## [Index] (インデックス)
インデックスとは、AWS アカウント 内の 1 つの AWS リージョン について Resource Explorer が管理するすべての AWS リソースに関する情報をまとめたものです。Resource Explorer は、Resource Explorer をオンにした各リージョンについてインデックスを保持します。Resource Explorer は、AWS アカウント でリソースを作成したり削除したりすると、インデックスを自動的に更新します。前の図では、AWS リージョン 名の下にある各ボックスは、それぞれの AWS リージョン について管理されている Resource Explorer のインデックスを表しています。リージョン内のインデックスは、そのリージョンで作成されたすべてのビューの情報源です。インデックスを直接クエリすることはできません。常にビューを使用してクエリを実行する必要があります。
インデックスには次の 2 種類があります。
**ローカルインデックス**
Resource Explorer をオンにしている各 AWS リージョン についてそれぞれ 1 つのローカルインデックスがあります。ローカルインデックスには、そのリージョンのリソースに関する情報のみが含まれます。
**アグリゲーターインデックス**
Resource Explorer 管理者は、一つの AWS リージョン 内のインデックスを AWS アカウント のアグリゲーターインデックスとして指定することもできます。アグリゲーターインデックスは、そのアカウントで Resource Explorer がオンになっている他のすべてのリージョンのインデックスのコピーを受け取って保存します。アグリゲーターインデックスは、自リージョンのリソースに関する情報も受け取って保存します。前の図では、リージョン `us-west-2` にはそのアカウントのアグリゲーターインデックスが含まれています。アカウントにアグリゲーターインデックスを指定する主な理由は、アカウント内のすべてのリージョンのリソースを含むビューを作成できるようにするためです。一つの AWS アカウント にはアグリゲーターインデックスは **1 つしか**作成できません。
Resource Explorer をオンにすると、アグリゲーターインデックスをどの AWS リージョン に格納するかを指定できるようになります。アグリゲーターインデックスに使用する AWS リージョン は後で変更することもできます。ローカルインデックスをその AWS アカウント のアグリゲーターインデックスに昇格させる方法については、[アグリゲーターインデックスを作成してクロスリージョン検索を有効にする](manage-aggregator-region.md) を参照してください。
インデックスとは、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) を持つリソースです。この ARN は、アクセス許可ポリシー内でそのインデックスと直接やり取りする各種操作へのアクセス許可を許可する目的にのみ使用できます。それらの操作により、ビューを作成してそのリージョンのデフォルトとして設定したり、特定のリージョンについて Resource Explorer を有効または無効にしたり、アカウントのアグリゲーターインデックスを作成したりすることができます。インデックス ARN は以下の例のようになります。
```
arn:aws:resource-explorer-2:us-east-1:123456789012:index/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```
## ビュー
ビューとは、インデックスにリストされているリソースをクエリするために使用されるメカニズムです。ビューは、インデックス内のどの情報を表示して検索や発見に利用できるかを定義します。ユーザーが Resource Explorer のインデックスに直接クエリを実行することはありません。クエリは常にビューを経由する必要があります。これにより、ビューの作成者は、ユーザーの検索結果に表示されるリソースを制限できます。
ビューを作成するときは、検索結果に含まれるリソースを制限するフィルターを指定します。例えば、このビューへのアクセスを付与するユーザーが使用する、指定された少数のリソースタイプのリソースのみを含めるように選択できます。ビューを使用してユーザーが行ったクエリの結果は、ビューに一致するリソースのみを含むよう自動的にフィルタリングされます。
ビューを使用するためのアクセス許可を付与するには、次のいずれかの手段で権限の割り当てを行います。
アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ AWS IAM アイデンティティセンター のユーザーとグループ:
アクセス許可セットを作成します。「**AWS IAM アイデンティティセンター ユーザーガイド」の「[アクセス許可一式を作成](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順を実行します。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については、「**IAM ユーザーガイド」の「[サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html)」を参照してください。
+ IAM ユーザー:
+ ユーザーに設定できるロールを作成します。手順については、「**IAM ユーザーガイド」の「[IAM ユーザー用ロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)」を参照してください。
+ (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。「*IAM ユーザーガイド*」の「[ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」の指示に従います。
ロール、グループ、またはユーザーに対して、[Amazon リソースネーム (ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)) で識別されるビューで `resource-explorer-2:GetView` および `resource-explorer-2:Search` オペレーションを呼び出すことを許可するアクセス許可を付与します。または、そのビューを使用して検索する必要のあるすべてのプリンシパルに対して、「[Resource Explorer の読み取り専用 AWS マネージドポリシー](security_iam_awsmanpol.md#security_iam_awsmanpol_AWSResourceExplorerReadOnlyAccess)」を使用することもできます。フィルターや範囲が異なる複数のビューを作成して、リソース情報のさまざまなサブセットを検索結果として返すことができます。これにより、それぞれのビューの結果に含まれる情報を確認する必要があるユーザーにそのビューの権限を付与できます。
Resource Explorer で検索を行うには、各ユーザーが少なくとも 1 つのビューを使用する権限を持っている必要があります。ビューを使わずに Resource Explorer で検索を実行することはできません。
ビューはリージョンごとに保存されます。ビューはその AWS リージョン の Resource Explorer インデックスにのみアクセスできます。アカウント全体の検索結果にアクセスするには、そのアカウントのアグリゲーターインデックスを含むリージョンのビューを使用する必要があります。**[Quick Setup]** オプションでは、そのアカウントで使用するすべての AWS リージョン のリソースを含むアグリゲーターインデックスとフィルターを含む AWS リージョン のデフォルトビューが作成されます。
ビューを作成する方法については、「[検索アクセス許可を提供するための Resource Explorer ビューの管理](manage-views.md)」を参照してください。ビューをクエリに使用する方法については、「[AWS Resource Explorer を用いたリソースの検索](using-search.md)」を参照してください。
すべてのビューには [Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) があり、これをアクセス許可ポリシー内で引用することによりそれぞれのビューへのアクセス許可を付与できます。ビューの ARN は、ビューとやり取りする任意の API または AWS CLI オペレーションにパラメータとして渡すこともできます。ビュー ARN は以下の例のようになります。
```
arn:aws:resource-explorer-2:us-east-1:123456789012:view/My-View-Name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```
**注記**
すべてのビュー ARN には、AWS で生成される UUID が末尾に付されます。これにより、削除された特定の名前のビューにアクセスできたユーザーが、同じ名前で作成された新しいビューに自動的にアクセスできないようにします。
## [リソース]
リソースとは、ユーザーが操作できる AWS 内のエンティティです。リソースは、サービスの機能を使用する際に AWS のサービス により作成されます。例として、Amazon EC2 インスタンス、Amazon S3 バケット、CloudFormation スタックなどがあります。一部のリソースタイプには顧客データが含まれる場合があります。すべてのリソースタイプには、名前、記述、およびリソースを一意に参照する [Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) など、リソースを記述する属性またはメタデータが備わっています。ほとんどの[リソースタイプはタグもサポートしています](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)。タグは、[請求時のコスト配分](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/aws-tags.html)、[属性ベースのアクセス制御によるセキュリティ認証](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)、およびその他の分類ニーズへの対応など、さまざまな目的でリソースに添付できるカスタムメタデータです。
Resource Explorer の主な目的は、AWS アカウント に存在するリソースを検索しやすくすることです。Resource Explorer は、さまざまな手法を使用してすべてのリソースを検出し、その情報を[インデックス](#term-index)に格納します。その後、管理者が提供している任意の[ビュー](#term-view)を使用してインデックスをクエリできます。
**重要**
Resource Explorer は、含めると顧客データが公開されてしまうるようリソースタイプを意図的に除外します。以下のリソースタイプは Resource Explorer では**インデックスされない**ため、検索結果として返されません。
バケット内に含まれる Amazon S3 オブジェクト
Amazon DynamoDB テーブルアイテム
DynamoDB 属性値
## AWS マネジメントコンソール での統合検索
それぞれの AWS のサービス の AWS マネジメントコンソール の上部には検索バーがあり、AWS に関連するさまざまなものの検索に使用できます。サービスや機能を検索して、そのサービスのコンソールの関連ページへのリンクを直接表示できます。検索語に関連するドキュメントやブログ記事を検索することもできます。
Resource Explorer をオンにしてアグリゲーターインデックスとデフォルトビューを作成すると、統合検索の検索結果にアカウントのリソースを含めることもできます。統合検索では、アカウントのアグリゲーターインデックスを含む AWS リージョン のデフォルトビューが自動的に使用されます。これにより、予め Resource Explorer を開かなくても、AWS マネジメントコンソール のどのページからでもリソースを検索できます。ローカルインデックスをそのアカウントのアグリゲーターインデックスに昇格させない場合、またはアグリゲーターインデックスリージョンにデフォルトビューを作成しない場合、統合検索の検索結果にリソースは含まれません。また、検索を実行するプリンシパルが、アグリゲーターインデックスを含むリージョンのデフォルトビューを使用する権限を持っている必要があります。そうしないと、統合検索の検索結果にリソースが含まれません。
**重要**
統合検索では、文字列の最初のキーワードの末尾にワイルドカード文字 (`*`) 演算子が自動的に挿入されます。つまり、統合検索結果には、指定されたキーワードで始まる任意の文字列と一致するリソースが含まれます。
これに対し、Resource Explorer コンソールの [[リソース検索]](https://console.aws.amazon.com/resource-explorer/home#/explorer) ページの **[クエリ]** テキストボックスから実行する検索では、ワイルドカード文字は自動的には**追加されません**。検索文字列の任意の用語の後に、`*` を手動で挿入できます。
統合検索と Resource Explorer との統合の詳細については、「[AWS マネジメントコンソール での統合検索の使用](using-unified-search.md)」を参照してください。
## マルチアカウント検索
マルチアカウント検索では、一つのキーワード検索で AWS Organizations および AWS リージョン 全体の リソースを検索して発見することができます。
マルチアカウント検索と Resource Explorer でマルチアカウント検索を有効にする方法の詳細については、「[マルチアカウント検索を有効にする](manage-service-multi-account.md)」を参照してください。