type
status
date
slug
summary
tags
category
icon
password
理論
AWS(Amazon Web Services)は、企業や組織が複数のAWSアカウントを使用してインフラを管理できるようにするための機能を提供しています。これに関連する重要なコンセプトを理解することは、質問に対する最適な解答を導くための鍵となります。以下に、関連する前提知識を整理します。
1. AWS Organizationsとは
AWS Organizationsは、複数のAWSアカウントを一元的に管理するためのサービスです。このサービスにより、組織内で複数のアカウントを作成・管理し、アカウント間でのリソースやポリシーの一貫した適用が可能となります。
- マスターアカウント:AWS Organizationsを管理するための最上位アカウントで、組織全体に対する設定や管理を行います。
- メンバーアカウント:AWS Organizations内で管理されるアカウントで、組織の方針に基づいてリソースを利用します。
2. VPC(Virtual Private Cloud)とは
VPCは、AWSの仮想ネットワークで、AWSリソース(EC2インスタンス、RDSインスタンスなど)を配置するための基盤となります。VPCは、インターネットに接続するためのインターフェースを提供するほか、サブネット(ネットワーク分割)やルートテーブル、セキュリティグループ、ネットワークACLなど、ネットワーク設定の管理が可能です。
- サブネット:VPC内のIPアドレス範囲を分けたネットワークの単位。サブネットはVPCの中で異なるアベイラビリティゾーンに配置できます。
- インターネットゲートウェイ:VPCとインターネットとの接続を提供します。
3. VPCの共有とリソース管理
複数のアカウントで同一のVPCを利用したい場合、通常はVPCピアリングを使用しますが、管理者がVPCを他のアカウントで利用可能にする方法として「リソースの共有」を行うことができます。
- リソースアクセスマネージャー(RAM):AWS Resource Access Manager(RAM)は、AWSアカウント間でリソース(VPCサブネット、セキュリティグループ、Route 53ホストゾーンなど)を共有するためのサービスです。
- リソース共有:特定のリソース(例えば、VPC内のサブネット)を共有することができ、共有されたリソースは、他のAWSアカウントでも利用可能になります。共有者は、リソースの管理者の役割を担うが、リソースを利用する者(個別アカウント)は管理権限を持たず、利用のみが可能です。
4. AWS IAM(Identity and Access Management)
IAMは、AWSリソースへのアクセス制御を行うためのサービスです。個別アカウントに対して、リソースの作成や操作に関する権限を付与することができます。
- ポリシー:IAMユーザーやグループに適用するアクセス権限を定義します。例えば、EC2インスタンスを起動する権限やVPCのサブネットにリソースを作成する権限を個別に設定することができます。
- ロール:AWSリソースに対するアクセス権限を付与するためのIAMロールを作成し、必要に応じて他のAWSアカウントやサービスに割り当てることができます。
5. VPCの管理とアクセス権限の設計
管理カウントがVPCを管理し、個別アカウントに対してそのVPC内のサブネットでリソースを作成する権限を与える必要があります。具体的には、個別アカウントがサブネットを作成したり管理したりする権限を持たない一方で、そのサブネット内でリソース(EC2インスタンスなど)を作成する権限を付与します。
- 管理者の権限とユーザーの権限の分離:管理カウントがネットワーク全体を管理し、個別アカウントがVPC内のサブネットを利用してリソースを作成できるようにするため、IAMポリシーやリソースアクセスマネージャー(RAM)の設定を行います。
6. AWS Organizations内でのリソース管理
AWS Organizationsを活用して、個別アカウントに特定のリソース(VPCやサブネット)を共有し、それに対して必要な権限のみを付与する形でアクセスを制御します。
- リソースの共有設定:管理カウントで作成したVPCサブネットなどのリソースを、AWS Resource Access Managerを利用して他の個別アカウントと共有し、共有されたアカウントがそのリソースを使用できるように設定します。
まとめ
AWS Organizations、VPC、IAM、Resource Access Managerなどを活用することで、個別アカウントにネットワークの管理権限を与えずに、VPC内のサブネットにリソースを作成する権限を提供することができます。この仕組みを活用することで、インフラアカウントはネットワーク全体を一元管理しつつ、各個別アカウントがリソースを作成する権限を持つことができます。
一問道場
背景:
- 会社は複数のAWSアカウントを使っています。AWS Organizationsを使ってこれらのアカウントを管理しています。
- インフラチームには、専用のアカウント(インフラアカウント)があり、このアカウントにはVPC(仮想プライベートクラウド)があります。このVPCを使って、全アカウントで共通のネットワークを管理します。
- 他の個別アカウント(ユーザーアカウント)にはネットワークを管理する権限は与えませんが、インフラアカウントが管理しているVPC内のサブネットにリソースを作成することはできます。
要件:
- 個別アカウントは自分のVPCネットワークを管理できないが、インフラアカウントで管理されている共通ネットワークを利用してリソースを作成することができるようにする。
- インフラアカウントのVPCを他のアカウントに共有する方法を考えてください。
質問:
この要件を満たすために必要な手順はどれか、最も適切なものを2つ選んでください。
選択肢:
- A インフラアカウントにトランジットゲートウェイを作成する。
- B AWS Organizationsの管理アカウントでリソース共有を有効にする。
- C 各アカウントにVPCを作成し、インフラアカウントのVPCと同じCIDR範囲を設定し、ピアリング接続を行う。
- D インフラアカウントでAWS Resource Access Managerを使い、特定のAWS OrganizationsのOU(組織単位)にネットワークを共有し、サブネットを関連付ける。
- E インフラアカウントでAWS Resource Access Managerを使い、特定のAWS OrganizationsのOUにネットワークを共有し、プレフィックスリストを関連付ける。
解説:
- A: トランジットゲートウェイは複数のVPCを接続するためのサービスです。異なるアカウントのVPCを接続するのに有効ですが、単純にサブネットを共有するだけではなく、VPC接続を管理する手順が必要です。
- D: AWS Resource Access Manager(RAM)を使うことで、インフラアカウント内のサブネットやネットワーク資源を、他のアカウントで使用できるように共有することができます。これにより、個別アカウントがサブネット内にリソースを作成できるようになります。
このように、選択肢を整理することで、問題の要件がより明確になります。また、解決策の内容も簡潔に説明しました。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/15ad7ae8-88e2-8042-b275-f7a21d21779e
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
