翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Verified Access グループを別のグループと共有するAWS アカウント
<a name="sharing-groups"></a>

所有している Verified Access グループを他のAWSアカウントと共有する場合、それらのアカウントがグループに Verified Access エンドポイントを作成できるようにします。Verified Access グループを作成したアカウントは、*所有者*アカウントと呼ばれます。共有グループを使用するアカウントは、*コンシューマー*アカウントと呼ばれます。

以下の図は、Verified Access グループを共有する利点を示しています。中央セキュリティチームはアカウント A を所有しています。 のユーザーとグループを管理しAWS IAM アイデンティティセンター、Verified Access 信頼プロバイダー、Verified Access インスタンス、Verified Access グループ、Verified Access ポリシーなどの内部アプリケーションへのアクセスを提供するために必要な Verified Access リソースを管理します。アプリケーションチームはアカウント B を所有しています。ロードバランサー、Auto Scaling グループ、Amazon Route 53 の DNS 設定、 AWS Certificate Manager(ACM) の TLS 証明書など、内部アプリケーションの実行に必要なリソースを管理します。中央セキュリティチームが Verified Access グループをアカウント B と共有したら、アプリケーションチームは、共有されたグループを使用して Verified Access エンドポイントを作成できます。アプリケーションへのアクセスは、中央セキュリティチームが Verified Access グループに作成したポリシーに基づいて許可または拒否されます。

![組織内のアカウント間で Verified Access グループを共有する。](http://docs.aws.amazon.com/ja_jp/verified-access/latest/ug/images/shared-groups.png)


## 考慮事項
<a name="sharing-groups-requirements"></a>

共有 Verified Access グループには、以下の考慮事項が適用されます。

**Owners**
+ Verified Access グループを共有するには、ユーザーに `ec2:PutResourcePolicy` および `ec2:DeleteResourcePolicy` アクセス許可が必要です。
+ Verified Access グループを共有するには、そのグループを所有している必要があります。自分に共有された Verified Access グループを共有することはできません。
+ 組織内のアカウントとの共有を有効にすると、Verified Access グループなどのリソースを、招待を使用せずに共有することができます。有効にしない場合、コンシューマーは招待を受け取り、共有グループにアクセスするには招待を受け入れる必要があります。共有を有効にするには、組織の管理アカウントから、AWS RAMコンソール**[の設定](https://console.aws.amazon.com/ram/home#Settings:)**ページを開き、**共有を有効にするAWS Organizations**を選択します。
+ 関連付けられた Verified Access エンドポイントがある場合は、グループを削除することはできません。コンシューマーアカウントによって作成されたエンドポイントは、所有者アカウントの **[Verified Access エンドポイント]** ページで確認できます。エンドポイントの所有者のアカウント ID は、エンドポイントの証明書の Amazon リソースネーム (ARN) に反映されます。

**コンシューマー**
+ 自分と共有されている Verified Access グループを確認するには、コンソールで **[Verified Access グループ]** ページを開くか、[describe-verified-access-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-verified-access-groups.html) を呼び出します。所有者のアカウント ID は、**[所有者]** フィールドとグループの Amazon リソースネーム (ARN) に反映されます。
+ Verified Access エンドポイントを作成するときは、自分に共有された Verified Access グループをどれでも指定できます。
+ 共有グループに関連付けられているエンドポイントのうち、自分が所有していないエンドポイントは表示できません。
+ Verified Access グループの所有者がリソース共有を削除した場合、グループ内に新しい Verified Access エンドポイントを作成することはできません。リソース共有を削除する前に作成した Verified Access エンドポイントは、リソース共有の削除の影響を受けません。ただし、共有グループの所有者はコンシューマーのエンドポイントを削除できます。

## リソース共有
<a name="resource-shares"></a>

Verified Access グループを共有するには、リソース共有に追加する必要があります。リソース共有は、共有するリソースと、共有されたリソースを使用できるコンシューマーを指定するものです。

**コンソールを使用して Verified Access グループを共有するには**

1. [https://console.aws.amazon.com/ram/home](https://console.aws.amazon.com/ram/home) でAWS RAMコンソールを開きます。

1. 組織にリソース共有がない場合は、リソース共有を作成します。プリンシパルでは、組織全体、組織単位、または特定のAWSアカウントを選択できます。

1. リソース共有を選択し、**[変更]** を選択します。

1. `Resources` で、リソースタイプとして **[Verified Access グループ]** を選択し、共有するリソースグループを選択します。

1. **[確認と更新にスキップ]** を選択します。

1. **[リソース共有を更新]** を選択します。

詳細については、「*AWS RAM ユーザーガイド*」の「[Create a resource share](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create)」を参照してください。