翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ARC でクラスターのクロスアカウントをサポート
Amazon Application Recovery Controller (ARC) は と統合 AWS Resource Access Manager してリソース共有を有効にします。 AWS RAM は、他の AWS アカウント または を通じてリソースを共有できるサービスです AWS Organizations。ARC ルーティングコントロールでは、クラスターリソースを共有できます。
では AWS RAM、リソース共有を作成して、所有している*リソースを共有*します。リソース共有では、共有対象のリソースと、共有先である参加者を指定します。**参加者には以下が含まれます。
+ の所有者の組織 AWS アカウント 内外に固有 AWS Organizations
+ の組織内の組織単位 AWS Organizations
+ の組織全体 AWS Organizations
詳細については AWS RAM、*[AWS RAM 「 ユーザーガイド](https://docs.aws.amazon.com/ram/latest/userguide/)*」を参照してください。
AWS Resource Access Manager を使用して ARC のアカウント間でクラスターリソースを共有することで、1 つのクラスターを使用して、複数の異なる が所有するコントロールパネルとルーティングコントロールをホストできます AWS アカウント。クラスターを共有する場合、指定した他の AWS アカウント はクラスターを使用して独自のコントロールパネルとルーティングコントロールをホストできるため、異なるチーム間でルーティング機能をより柔軟に制御できます。
AWS RAM は、 AWS お客様がリソースを安全に共有できるようにするサービスです AWS アカウント。を使用すると AWS RAM、IAM ロールとユーザーを使用して AWS Organizations、 の組織または組織単位 (OUs) 内のリソースを共有できます。 AWS RAM は、クラスターを共有するための一元化され制御された方法です。
クラスターを共有すると、組織が必要とするクラスターの総数を減らせます。共有クラスターを使用すると、クラスターを実行するための総コストを複数のチームに割り振ることが可能で、低コストで ARC の利点を最大化できます。(クラスターでホストされるリソースを作成しても、所有者や参加者に追加コストは発生しません)。アカウント間でクラスターを共有すると、複数のアプリケーションを ARC にオンボーディングするプロセスも簡単になります。特に、多数のアプリケーションが複数のアカウントや運用チームに分散している場合に有効です。
ARC でクロスアカウント共有を開始するには、 AWS RAMで*リソース共有*を作成します。リソース共有は、アカウントが所有するクラスターを共有する権限を持つ参加者を指定します。**その後、参加者は、クラスター内で、 を使用するか、 AWS Command Line Interface AWS マネジメントコンソール または AWS SDKs を使用して ARC API オペレーションを実行することで、コントロールパネルやルーティングコントロールなどのリソースを作成できます。
このトピックでは、所有しているリソースの共有方法と、共有されているリソースの使用方法を説明します。
**Topics**
+ [クラスター共有の前提条件](#sharing-prereqs)
+ [クラスターの共有](#sharing-share)
+ [共有クラスターの共有解除](#sharing-unshare)
+ [共有クラスターの識別](#sharing-identify)
+ [共有クラスターの責任とアクセス許可](#sharing-perms)
+ [費用請求](#sharing-billing)
+ [クォータ](#sharing-quotas)
## クラスター共有の前提条件
+ クラスターを共有するには、 でクラスターを所有している必要があります AWS アカウント。つまり、自分のアカウントにそのリソースが割り当てられているか、プロビジョニングされている必要があります。自分自身が共有を受けているクラスターは共有できません。
+ 組織または AWS Organizations内の組織単位とクラスターを共有するには、 AWS Organizationsとの共有を有効にする必要があります。詳細については、*AWS RAM ユーザーガイド*の「[AWS Organizationsで共有を有効化する](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)」を参照してください。
+ AWS RAM クラスターなどのグローバルリソースの リソース共有は、米国東部 (バージニア北部) リージョン (us-east-1) で作成する必要があります。
## クラスターの共有
所有するクラスターを共有すると、クラスターの共有先に指定された参加者は、そのクラスター内で独自の ARC リソースを作成してホストできます。
クラスターを共有するには、リソース共有に追加する必要があります。リソース共有とは、 AWS アカウント間で自身のリソースを共有するための AWS RAM リソースです。リソース共有では、共有対象のリソースと、共有先の参加者を指定します。クラスターを共有するには、新しいリソース共有を作成するか、リソースを既存のリソース共有に追加します。新しいリソース共有を作成するには、 [AWS RAM コンソール](https://console.aws.amazon.com/ram)を使用するか、 AWS Command Line Interface または AWS SDKsで AWS RAM API オペレーションを使用します。
の組織に属 AWS Organizations していて、組織内での共有が有効になっている場合、組織内の参加者には共有クラスターへのアクセス権が自動的に付与されます。それ以外の場合、参加者はリソース共有への参加の招待を受け取り、その招待を受け入れた後で、共有クラスターに対するアクセス許可が付与されます。
所有しているクラスターを共有するには、 AWS RAM コンソールを使用するか、 AWS CLI または SDKs で AWS RAM API オペレーションを使用します。
**AWS RAM コンソールを使用して所有しているクラスターを共有するには**
「**AWS RAM ユーザーガイド」の「[リソース共有の作成](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)」を参照してください。
**を使用して所有しているクラスターを共有するには AWS CLI**
[create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) コマンドを使用します。
**クラスターを共有するアクセス許可の付与**
アカウント間でクラスターを共有するには、クラスターを共有する IAM プリンシパルのアクセス許可が必要です AWS RAM。
`AmazonRoute53RecoveryControlConfigFullAccess` マネージド IAM ポリシーを使用して、IAM プリンシパルが共有クラスターを共有して使用するために必要なアクセス許可を持っていることを確認することをお勧めします。
カスタム IAM ポリシーを使用してクラスターを共有するには、そのクラスターの `route53-recovery-control-config:PutResourcePolicy`、`route53-recovery-control-config:GetResourcePolicy`、および `route53-recovery-control-config:DeleteResourcePolicy` のアクセス許可が必要です。`PutResourcePolicy` および `DeleteResourcePolicy` はアクセス許可のみの IAM アクションです。これらのアクセス許可 AWS RAM なしで を介してクラスターを共有しようとすると、エラーが発生します。
IAM AWS Resource Access Manager の使用方法の詳細については、*AWS RAM 「 ユーザーガイド*」の[「IAM AWS Resource Access Manager の使用方法](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-policies.html)」を参照してください。
## 共有クラスターの共有解除
クラスターの共有を解除すると、次のことが参加者と所有者に適用されます。
+ 現在の参加者のリソースは、共有解除されたクラスターに残ります。
+ 参加者は引き続き、共有解除されたクラスターのルーティングコントロール状態を更新して、アプリケーションフェイルオーバーのルーティングを管理できます。
+ 参加者は共有解除されたクラスターに新しいリソースを作成できません。
+ 参加者のリソースがまだ共有解除されたクラスターにある場合、所有者はその共有クラスターを削除できません。
所有している共有クラスターの共有を解除するには、それをリソース共有から削除します。これを行うには、 AWS RAM コンソールを使用するか、 AWS CLI または SDKsで AWS RAM API オペレーションを使用します。
**AWS RAM コンソールを使用して所有している共有クラスターの共有を解除するには**
*AWS RAM ユーザーガイド* の「[リソース共有の更新](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update)」を参照してください。
**を使用して所有している共有クラスターの共有を解除するには AWS CLI**
[disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html) コマンドを使用します。
## 共有クラスターの識別
所有者と参加者は、 AWS RAM内で情報を表示して、共有クラスターを識別できます。ARC コンソールと AWS CLIを使用して、共有リソースに関する情報を取得することもできます。
一般的に、共有したリソースまたは共有されたリソースの詳細については、 AWS Resource Access Manager 「 ユーザーガイド」の情報を参照してください。
+ 所有者は、 AWS RAMを使用することで、他のユーザーと共有しているすべてのリソースを表示できます。詳細については、[「 での共有リソースの表示 AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-view-sr.html)」を参照してください。
+ 参加者として、 を使用して共有されているすべてのリソースを表示できます AWS RAM。詳細については、[「 での共有リソースの表示 AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-view-sr.html)」を参照してください。
所有者は、 で情報を表示するか、ARC API オペレーション AWS Command Line Interface で AWS マネジメントコンソール を使用してクラスターを共有するかどうかを判断できます。
**コンソールを使用して、所有しているクラスターが共有されているかどうかを確認するには**
クラスター AWS マネジメントコンソールの詳細ページで、**クラスターの共有ステータス**を参照してください。
**を使用して、所有しているクラスターが共有されているかどうかを確認するには AWS CLI**
[get-resource-policy](https://docs.aws.amazon.com/recovery-cluster/latest/api/resourcepolicy-resourcearn.html.html) コマンドを使用します。クラスターにリソースポリシーがある場合、コマンドはそのポリシーに関する情報を返します。
参加者がクラスターの共有を受ける際は、通常、共有を承諾する必要があります。また、クラスターの **[所有者]** フィールドにはクラスター所有者の説明が含まれます。
## 共有クラスターの責任とアクセス許可
### 所有者のアクセス許可
所有しているクラスターを他のユーザーと共有する場合 AWS アカウント、クラスターの使用が許可されている参加者は、クラスター内にコントロールパネル、ルーティングコントロール、その他のリソースを作成できます。
クラスター所有者は、クラスターの作成、管理、削除に責任を負います。ルーティングコントロールや安全ルールなど、参加者が作成したリソースを変更または削除できません。例えば、参加者が作成したルーティングコントロールを更新してルーティングコントロールの状態を変更できません。
ただし、自分が所有するクラスターの参加者が作成したルーティングコントロールの詳細は表示できます。たとえば、 AWS Command Line Interface または AWS SDKs を使用して [ARC ルーティングコントロール API オペレーションを呼び出すことで、ルーティングコントロール](actions.routing-control.md)の状態を表示できます。
参加者の作成したリソースを変更する必要がある場合、参加者にリソースへのアクセス許可を持つロールを IAM で設定してもらい、そのロールに自分のアカウントを追加してもらいます。
### 参加者のアクセス許可
一般に、参加者は、共有されたクラスター内でコントロールパネル、ルーティングコントロール、安全ルール、ヘルスチェックを作成し、使用できます。共有クラスター内のクラスターリソースの表示、変更、削除ができるのは、そのリソースを所有している場合に限られます。例えば、参加者は自分が作成したコントロールパネルの安全ルールを作成および削除できます。
以下の制限が適用されます。
+ 参加者は、共有クラスターを使用して他のアカウントが作成したコントロールパネルを表示、変更、削除できません。
+ 参加者は、他のアカウントが共有クラスターに作成したリソースについて、ルーティングコントロールの表示、作成、変更 (ルーティングコントロールの状態を含む) を行えません。
+ 参加者は、共有クラスター内の他のアカウントが作成した安全ルールを作成、変更、表示できません。
+ クラスター所有者のものであるため、参加者は共有クラスター内のデフォルトコントロールパネルにはリソースを追加できません。
前述のように、参加者は共有クラスターのデフォルトコントロールパネルにルーティングコントロールを作成できません。クラスター所有者がデフォルトコントロールパネルを所有しているためです。ただし、クラスター所有者は、クラスターのデフォルトコントロールパネルへのアクセス許可を与えるクロスアカウント IAM ロールを作成できます。その後、所有者は参加者にロールを引き受ける許可を付与できます。これにより、参加者はデフォルトのコントロールパネルにアクセスし、所有者がロールのアクセス許可で指定した方法で使用できるようになります。
## 費用請求
ARC のクラスターの所有者には、そのクラスターに関連する費用が請求されます。クラスターの所有者側でも参加者側でも、クラスターでホストされるリソースの作成に追加費用はかかりません。
詳細な料金情報と例については、[「Amazon Application Recovery Controller (ARC) の料金](https://aws.amazon.com/application-recovery-controller/pricing/)」を参照してください。
## クォータ
共有クラスターで作成されたすべてのリソース (共有クラスターへのアクセス権を持つすべての参加者が作成したリソースを含む) は、そのクラスターや他のリソース (ルーティングコントロールなど) で有効なクォータにカウントされます。クラスターリソースを共有するアカウントのクォータがクラスター所有者のクォータよりも高い場合、クラスター所有者のクォータは、共有しているアカウントのクォータよりも優先されます。
この仕組みをより深く理解するために、以下の例を参照してください。リソース共有でのクォータの仕組みを説明するために、これらの例では、クラスター所有者が所有者で、クラスターが共有されているアカウントが参加者であるとします。
**コントロールパネルのクォータ**
クォータは、クラスターあたりの所有者の合計コントロールパネルに適用されます。
例えば、所有者のクラスターあたりのコントロールパネル数のクォータが 50 で、クラスター内に 13 のコントロールパネルがあるとします。次に、参加者がクォータを 150 に設定しているとします。このシナリオでは、参加者は共有クラスターに最大 37 個のコントロールパネル (50~13) しか作成できません。
さらに、クラスターを共有する他のアカウントもコントロールパネルを作成する場合、それらはすべて 50 のコントロールパネルのクラスター全体のクォータにもカウントされます。
**ルーティングコントロールのクォータ**
ルーティングコントロールには複数のクォータがあります。コントロールパネルあたりのクォータ、クラスターあたりのクォータ、安全ルールあたりのクォータです。所有者のクォータは、これらすべてのクォータに優先されます。
例えば、所有者のクラスターあたりのルーティングコントロール数のクォータが 300 で、クラスター内に既に 300 のルーティングコントロールがあるとします。次に、参加者がこのクォータを 500 に設定しているとします。このシナリオでは、参加者は共有クラスターに新しいルーティングコントロールを作成できません。
**安全ルールのクォータ**
クォータは、コントロールパネルのクォータごとに所有者の安全ルールに適用されます。
例えば、所有者がコントロールパネルあたりの安全ルールの数のクォータを 20 に設定し、参加者がこのクォータを 80 に設定しているとします。このシナリオでは、所有者の下限が優先されるため、参加者は共有クラスターのコントロールパネルに最大 20 個の安全ルールしか作成できません。
ルーティングコントロールクォータのリストについては、「[ルーティングコントロールのクォータ](routing-control.quotas.md)」を参照してください。