type
status
date
slug
summary
tags
category
icon
password
理論
AWS リソースアクセスマネージャー(AWS Resource Access Manager、RAM) は、AWS のサービス間でリソースを共有するためのサービスです。これを使用すると、AWS アカウントや組織内の複数のメンバーアカウントにリソースを共有できます。特に、複数のアカウントや組織間で共通のリソースを使いたい場合に役立ちます。
具体的には、以下のようなリソースを共有する際に利用されます:
- VPC ピアリング接続
他のアカウントの VPC とピアリング接続を作成する際に、AWS RAM を使ってその接続を共有することができます。
- Transit Gateway
企業が複数のアカウントで AWS Transit Gateway を使って VPC を接続する際、Transit Gateway を他のアカウントと共有するために AWS RAM を使います。
- Amazon Route 53 プライベートホストゾーン
プライベート DNS ゾーンを複数のアカウントで使用する場合に、そのゾーンを他のアカウントと共有できます。
AWS RAM を使用する利点:
- リソースの共有
他の AWS アカウントや AWS Organizations 内のメンバーアカウントとリソースを簡単に共有できます。
- 管理の簡素化
複数のアカウント間で一貫した設定を維持でき、リソースの管理が簡単になります。
- セキュリティとアクセス管理
リソースを共有する際に、アクセス権限をきめ細かく制御できます。共有先のアカウントやユーザーに対するアクセス権を設定でき、セキュアにリソースを利用できます。
例えば、Transit Gateway を複数のアカウント間で共有する場合、管理アカウントから AWS RAM を使用して、Transit Gateway のリソースをメンバーアカウントに提供します。これにより、各アカウントが自分の VPC を Transit Gateway に接続できるようになります。
実践
AWS RAM を使った複数アカウントでの Transit Gateway (TGW) 共有手順
1. TGW 作成
- アカウントAで TGW を作成し
2. RAM でリソース共有
- アカウントAから RAM を使用して TGW をアカウントBに共有。
- 「Resource Access Manager」でリソース共有を作成。
- アカウントBのAWSアカウントIDを共有先に追加。
3. 共有承諾
- アカウントBにログインし、RAM の「受信済みの共有リソース」で TGW 共有を承諾。
4. アカウントBでのアタッチ
- アカウントBで共有された TGW を確認し、自身のVPC (例: 172.16.0.0/16) にアタッチメントを作成。
- アタッチメント作成時に、自動で TGW ルートテーブルが生成され、相互通信のルートが設定されます。
5. アカウントAでのアタッチ
- アカウントAで自身のVPC (例: 172.16.0.0/16) にアタッチメントを作成。
- アタッチメント作成時に、自動で TGW ルートテーブルが生成され、相互通信のルートが設定されます。
6. 通信確認
- EC2が存在するサブネットに向こうに繋ぐTGWを指定して、相手側のVPC CIDRに対するルートを設定。
- EC2間の通信が可能であることを確認。
これにより、複数アカウント間でセキュアかつ効率的に通信を実現できます。TGW ルートテーブルの自動生成機能を活用することで、設定の手間を削減可能です。
一問道場
質問 #30
トピック 1
ある企業には、AWS Organizations のメンバーとして 50 の AWS アカウントがあります。各アカウントには複数の VPC が含まれています。企業は、AWS Transit Gateway を使用して各メンバーアカウント内の VPC 間の接続を確立したいと考えています。また、各新しいメンバーアカウントが作成されるたびに、新しい VPC と Transit Gateway 添付の作成プロセスを自動化したいと考えています。
この要件を満たすための手順の組み合わせはどれですか?(2つ選んでください)
A. 管理アカウントから AWS リソースアクセスマネージャーを使用して、メンバーアカウントに Transit Gateway を共有します。
B. 管理アカウントから AWS Organizations の SCP(サービス制御ポリシー)を使用して、メンバーアカウントに Transit Gateway を共有します。
C. 管理アカウントから AWS CloudFormation スタックセットを起動して、新しい VPC と VPC Transit Gateway 添付をメンバーアカウントに自動的に作成します。その後、Transit Gateway ID を使用して、管理アカウントの Transit Gateway に添付を関連付けます。
D. 管理アカウントから AWS CloudFormation スタックセットを起動して、新しい VPC とピアリング Transit Gateway 添付をメンバーアカウントに自動的に作成します。Transit Gateway サービスリンクロールを使用して、管理アカウントの Transit Gateway と添付を共有します。
E. 管理アカウントから AWS サービスカタログを使用して、メンバーアカウントに Transit Gateway を共有します。
解説
- A は AWS リソースアクセスマネージャーを使用して、管理アカウントから Transit Gateway をメンバーアカウントに共有する方法です。これにより、新しい VPC と Transit Gateway の接続を簡単に共有できます。
- C は CloudFormation スタックセットを使用して、VPC と Transit Gateway の添付を自動的に作成し、管理アカウントの Transit Gateway に関連付ける方法です。自動化に最適です。
他の選択肢については、要件に合わないか、過剰な手順が含まれているため、適切ではありません。
例
管理アカウントが Transit Gateway を作成し、Account A と Account B の VPC がその Transit Gateway を通じて接続されるようにしたい場合、次の手順が必要です:
- Account A と Account B は、それぞれ自分の VPC を Transit Gateway に接続するために、各アカウント内で Transit Gateway Attachment を作成する必要があります。
- これらの Transit Gateway Attachment は、それぞれのアカウント内の VPC に作成されますが、どちらの添付接続も同じ Transit Gateway に接続されます。
要するに、各アカウント内で Transit Gateway Attachment を作成することで、複数のアカウントにまたがる VPC が Transit Gateway を通じて相互接続されます。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/165d7ae8-88e2-8062-ad5f-f3085ba53896
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
