翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# の開始方法 AWS RAM
を使用すると AWS Resource Access Manager、所有しているリソースを他のユーザーと共有できます AWS アカウント。アカウントが によって管理されている場合は AWS Organizations、組織内の他のアカウントとリソースを共有することもできます。他の AWS アカウントによって自分と共有されたリソースも使用できます。
内で共有を有効にしない場合 AWS Organizations、組織または組織内の組織単位 (OU) とリソースを共有することはできません。ただし、組織 AWS アカウント 内の個人とリソースを共有することはできます。[サポートされているリソースタイプ](shareable.md)について、組織内でリソースを個々の AWS Identity and Access Management (IAM) ロールまたはユーザーと共有することもできます。この場合、これらのプリンシパルは、組織の一部としてではなく、外部アカウントとして扱われます。共有リソースにアクセスするには、リソース共有に参加するための招待状を受け取ってその招待状を受け入れる必要があります。
**Topics**
+ [用語と概念](getting-started-terms-and-concepts.md)
+ [リソースの共有](getting-started-sharing.md)
+ [共有リソースの使用](getting-started-shared.md)
# の用語と概念 AWS RAM
以下の概念は、 AWS Resource Access Manager (AWS RAM) を使用してリソースを共有する方法を説明するのに役立ちます。
## リソースの共有
を使用してリソースを共有するには AWS RAM 、*リソース共有*を作成します。リソース共有には次の 3 つの要素があります。
+ 共有する 1 つ以上の AWS リソースのリスト。
+ アクセスが付与される 1 つまたは複数の[プリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying)のリスト。
+ 共有に含める各リソースタイプの[管理アクセス許可](#term-managed-permission)。各管理アクセス許可は、リソース共有内の対象タイプのすべてのリソースに適用されます。
AWS RAM を使用してリソース共有を作成すると、リソース共有で指定されたプリンシパルに共有のリソースへのアクセスを許可できます。
+ と AWS RAM の共有を有効にし AWS Organizations、共有するプリンシパルが共有アカウントと同じ組織にある場合、アカウント管理者が AWS Identity and Access Management (IAM) アクセス許可ポリシーを使用してリソースを使用するアクセス許可を付与すると、それらのプリンシパルはすぐにアクセスできるようになります。
+ Organizations と AWS RAM の共有を有効にしない場合でも、組織 AWS アカウント 内の個人とリソースを共有できます。コンシューマーアカウントの管理者は、リソース共有に参加するための招待状を受け取ります。管理者が招待状を承諾すると、リソース共有で指定されたプリンシパルは共有リソースにアクセスできるようになります。
+ リソースタイプでサポートされている場合は、組織外のアカウントと共有することもできます。コンシューマーアカウントの管理者は、リソース共有に参加するための招待状を受け取ります。管理者が招待状を承諾すると、リソース共有で指定されたプリンシパルは共有リソースにアクセスできるようになります。このタイプの共有がサポートされているリソースタイプについては、「[共有可能な AWS リソース](shareable.md)」の「**組織外のアカウントと共有可能**」列を参照してください。
## 共有アカウント
*共有アカウント*には、共有されているリソースと、 AWS RAM 管理者が を使用してリソース共有を作成する AWS リソースが含まれています AWS RAM。
AWS RAM 管理者は、 でリソース共有を作成および設定するアクセス許可を持つ IAM プリンシパルです AWS アカウント。はリソースベースのポリシーをリソース共有のリソースにアタッチすることで AWS RAM 機能するため、 AWS RAM 管理者はリソース共有に含まれる各リソースタイプの AWS のサービス で `PutResourcePolicy`オペレーションを呼び出すアクセス許可も必要です。
## コンシューマープリンシパル
*消費アカウント*は、リソースが共有される AWS アカウント です。リソース共有は、アカウント全体をプリンシパルとして指定することも、リソースタイプによってはアカウント内の個々のロールやユーザーを指定することもできます。このタイプの共有がサポートされているリソースタイプについては、「[共有可能な AWS リソース](shareable.md)」の「**IAM ロールおよびユーザーと共有可能**」列を参照してください。
AWS RAM は、リソース共有のコンシューマーとしてサービスプリンシパルもサポートしています。このタイプの共有がサポートされているリソースタイプについては、「[共有可能な AWS リソース](shareable.md)」の「**サービスプリンシパルと共有可能**」列を参照してください。
コンシューマーアカウントのプリンシパルは、以下の***両方の***アクセス許可で許可されているアクションのみを実行できます。
+ リソース共有にアタッチされた管理アクセス許可。これは、コンシューマーアカウントのプリンシパルに付与できる*最大*のアクセス許可を指定します。
+ コンシューマーアカウントの IAM 管理者が個々のロールまたはユーザーにアタッチする IAM ID ベースのポリシー。これらのポリシーは、指定されたアクションと、共有アカウントのリソースの [Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) への `Allow` アクセスを許可する必要があります。
AWS RAM は、リソース共有のコンシューマーとして次の IAM プリンシパルタイプをサポートしています。
+ **もう AWS アカウント** 1 つ — リソース共有は、共有アカウントに含まれるリソースを消費アカウントで利用できるようにします。
+ **別のアカウントの個々の IAM ロールまたはユーザー** — 一部のリソースタイプでは、個々の IAM ロールまたはユーザーとの直接共有がサポートされています。このプリンシパルタイプは ARN で指定します。
+ **IAM ロール** – `arn:aws:iam::123456789012:role/rolename`
+ **IAM ユーザー** – `arn:aws:iam::123456789012:user/username`
+ **サービスプリンシパル** – リソースを AWS サービスと共有して、サービスにリソース共有へのアクセスを許可します。サービスプリンシパルの共有により、 AWS サービスはユーザーに代わってアクションを実行し、運用上の負担を軽減できます。
サービスプリンシパルと共有するには、[すべてのユーザーとの共有を許可] を選択して、**[プリンシパルタイプの選択]** のドロップボックスリストで **[サービスプリンシパル]** を選択します。サービスプリンシパルの名前を次の形式で指定します。
+ `service-id.amazonaws.com`
混乱した代理のリスクを軽減するため、リソースポリシーでは `aws:SourceAccount` 条件キーにリソース所有者のアカウント ID が表示されます。
+ **組織内のアカウント** – 共有アカウントが によって管理されている場合 AWS Organizations、リソース共有は組織の ID を指定して、組織内のすべてのアカウントと共有できます。リソース共有では、組織単位 (OU) ID を指定して、その OU 内のすべてのアカウントと共有することもできます。共有アカウントは、自分の組織または自分の組織内の OU ID とのみ共有できます。組織または OU の ARN で組織内のアカウントを指定します。
+ **組織内のすべてのアカウント** — 以下は、 AWS Organizationsにある組織の ARN の例です。
`arn:aws:organizations::123456789012:organization/o-`
+ **組織単位内のすべてのアカウント** — 以下は、OU ID の ARN の例です。
`arn:aws:organizations::123456789012:organization/o-/ou--`
**重要**
組織または OU と共有し、スコープにリソース共有を所有するアカウントが含まれる場合、共有アカウントのすべてのプリンシパルは、共有内のリソースに自動的にアクセスできるようになります。付与されるアクセスは、共有に関連付けられている管理アクセス許可によって定義されます。これは、共有内の各リソースにア AWS RAM タッチするリソースベースのポリシーが を使用するためです`"Principal": "*"`。詳細については、「["Principal": "\$1" をリソースベースのポリシーで使用することの影響](#term-principal-star)」を参照してください。
他のコンシューマーアカウントのプリンシパルは、共有のリソースにすぐにはアクセスできません。他のアカウントの管理者は、まず ID ベースのアクセス許可ポリシーを適切なプリンシパルにアタッチする必要があります。これらのポリシーは、リソース共有内の個々のリソース ARN への `Allow` アクセスを付与する必要があります。これらのポリシーのアクセス許可は、リソース共有に関連付けられた管理アクセス許可で指定されているアクセス許可を超えることはできません。
## リソースベースのポリシー
リソースベースのポリシーは、IAM ポリシー言語を実装する JSON テキストドキュメントです。IAM ロールやユーザーなど、プリンシパルにアタッチするアイデンティティベースのポリシーとは異なり、リソースベースのポリシーをリソースにアタッチします。 は、リソース共有に提供した情報に基づいて、ユーザーに代わってリソースベースのポリシー AWS RAM を作成します。ユーザーは、リソースにアクセスできるユーザーを決定する `Principal` ポリシー要素を指定する必要があります。詳細については、「*IAM ユーザーガイド*」の「[アイデンティティベースおよびリソースベースのポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)」を参照してください。
によって生成されたリソースベースのポリシー AWS RAM は、他のすべての IAM ポリシータイプとともに評価されます。これには、リソースにアクセスしようとしているプリンシパルにアタッチ AWS Organizations された IAM アイデンティティベースのポリシーと、 に適用される可能性のある のサービスコントロールポリシー (SCPs) が含まれます AWS アカウント。によって生成されたリソースベースのポリシーは、他のすべての IAM ポリシーと同じポリシー評価ロジック AWS RAM に参加します。ポリシー評価の詳細結果および結果から導かれるアクセス許可の決定については、「**IAM ユーザーズガイド」の「[ポリシーの評価論理](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
AWS RAM は、easy-to-use抽象化リソースベースのポリシーを提供することで、シンプルで安全なリソース共有エクスペリエンスを提供します。
リソースベースのポリシーをサポートするリソースタイプの場合、 はリソースベースのポリシー AWS RAM を自動的に構築および管理します。指定されたリソースで、 AWS RAM はそのリソースを含むすべてのリソース共有からの情報を組み合わせて、リソースベースのポリシーを作成します。たとえば、 を使用して共有 AWS RAM し、2 つの異なるリソース共有に含める Amazon SageMaker AI パイプラインを考えてみましょう。1 つのリソース共有を使用して、組織全体に読み取り専用アクセス権を付与できます。その後、他のリソース共有を使用して、1 つのアカウントに SageMaker AI 実行アクセス許可のみを付与できます。 は、これらの 2 つの異なるアクセス許可セット AWS RAM を複数のステートメントを持つ 1 つのリソースポリシーに自動的に結合します。その後、結合されたリソースベースのポリシーをパイプラインリソースにアタッチします。この基盤となるリソースポリシーを表示するには、 [https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html)オペレーションを呼び出します。 AWS のサービス 次に、そのリソースベースのポリシーを使用して、共有リソースに対してアクションを実行しようとするプリンシパルを承認します。
リソースベースのポリシーを手動で作成し、`PutResourcePolicy` を呼び出してリソースにアタッチすることもできますが、以下の利点があるため AWS RAM を使用することを推奨します。
+ **共有コンシューマーの検出可能性** – を使用してリソースを共有すると AWS RAM、ユーザーは、共有されているすべてのリソースを、リソースを所有するサービスのコンソールおよび API オペレーションで、それらのリソースがユーザーのアカウントに直接あったかのように直接表示できます。例えば、 AWS CodeBuild プロジェクトを別のアカウントと共有する場合、消費アカウントのユーザーはCodeBuild コンソールと実行された CodeBuild API オペレーションの結果でプロジェクトを表示できます。リソースベースのポリシーを直接アタッチして共有したリソースは、この方法では表示されません。代わりに、リソースを探し、ARN を使用して明示的にリソースを参照する必要があります。
+ **共有所有者の管理性** – を使用してリソースを共有すると AWS RAM、共有アカウントのリソース所有者は、自分のリソースにアクセスできる他のアカウントを一元的に確認できます。リソースベースのポリシーを使用してリソースを共有する場合、関連するサービスコンソールまたは API で個々のリソースのポリシーを調べることによってのみ、コンシューマーアカウントを確認できます。
+ **効率** – を使用してリソースを共有する場合 AWS RAM、複数のリソースを共有して 1 つのユニットとして管理できます。リソースベースのポリシーのみを使用してリソースを共有する場合は、共有するすべてのリソースに個別のポリシーをアタッチする必要があります。
+ **シンプル –** では AWS RAM、JSON ベースの IAM ポリシー言語を理解する必要はありません。 は、リソース共有にアタッチするために選択できるready-to-use AWS 管理アクセス許可 AWS RAM を提供します。
を使用すると AWS RAM、リソースベースのポリシーをまだサポートしていない一部のリソースタイプを共有することもできます。このようなリソースタイプの場合、 は実際のアクセス許可の表現としてリソースベースのポリシー AWS RAM を自動的に生成します。ユーザーは、[https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html) を呼び出してこれを表示できます。これには、次のリソースタイプが含まれます。
+ Amazon Aurora – DB クラスター
+ Amazon EC2 — キャパシティ予約と専有ホスト
+ AWS License Manager – ライセンス設定
+ AWS Outposts – ローカルゲートウェイルートテーブル、アウトポスト、サイト
+ Amazon Route 53 – 転送ルール
+ Amazon Virtual Private Cloud — カスタマーが所有する IPv4 アドレス、プレフィックスリスト、サブネット、トラフィックミラーターゲット、トランジットゲートウェイ、トランジットゲートウェイマルチキャストドメイン
### AWS RAM 生成されたリソースベースのポリシーの例
EC2 Image Builder イメージリソースを個々の***アカウント***と共有する場合、 は次の例のようなポリシー AWS RAM を生成し、リソース共有に含まれるイメージリソースにアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"imagebuilder:GetImage",
"imagebuilder:ListImages"
],
"Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
}
]
}
```
------
EC2 Image Builder イメージリソースを別の の ***IAM ロールまたはユーザー***と共有する場合 AWS アカウント、 は次の例のようなポリシー AWS RAM を生成し、リソース共有に含まれるイメージリソースにアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/MySampleRole"
},
"Action": [
"imagebuilder:GetImage",
"imagebuilder:ListImages"
],
"Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
}
]
}
```
------
EC2 Image Builder イメージリソースを組織内のすべてのアカウントまたは OU アカウントと共有する場合、 は次の例のようなポリシー AWS RAM を生成し、リソース共有に含まれるイメージリソースにアタッチします。
**注記**
このポリシーは `"Principal": "*"` を使用し、その後 `"Condition"` 要素を使用して、指定された `PrincipalOrgID` と一致する ID のアクセス許可を制限します。詳細については、「["Principal": "\$1" をリソースベースのポリシーで使用することの影響](#term-principal-star)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"imagebuilder:GetImage",
"imagebuilder:ListImages"
],
"Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-123456789"
}
}
}
]
}
```
------
### "Principal": "\$1" をリソースベースのポリシーで使用することの影響
`"Principal": "*"` をリソースベースのポリシーに含めると、そのポリシーは、`Condition` 要素が存在する場合、その要素によって課せられる制限に従い、リソースを含むアカウント内のすべての IAM プリンシパルにアクセスを付与します。呼び出し元のプリンシパルに適用されるポリシーの明示的な `Deny` ステートメントは、このポリシーによって付与されたアクセス許可を上書きします。ただし、該当するアイデンティティポリシー、アクセス許可の境界ポリシー、またはセッションポリシーが***暗黙的***な `Deny` の(つまり、*明示的な* `Allow` が存在しない)場合でも、そのリソースベースのポリシーによってアクションへのアクセスを付与されているプリンシパルに対して `Deny` が適用されることには***なりません***。
この動作がユースケースで適切でない場合は、関連するロールやユーザーに影響を与える****明示的な** `Deny` ステートメントを ID ポリシー、アクセス許可の境界、またはセッションポリシーに追加することで、この動作を制限できます。
## 管理アクセス許可
管理アクセス許可は、リソース共有内のサポートされているリソースタイプに対して、プリンシパルがどのような条件でアクションを実行できるかを定義します。リソース共有を作成する際に、リソース共有に含まれるリソースタイプごとに、どの管理アクセス許可を使用するかを指定する必要があります。管理アクセス許可は、プリンシパルが を使用して共有リソースで実行できる一連の `actions` および *条件*を一覧表示します AWS RAM。
リソース共有では、リソースタイプごとに 1 つの管理アクセス許可のみをアタッチすることができます。特定のタイプの一部のリソースである管理アクセス許可を使用し、同じタイプの他のリソースでは別の管理アクセス許可を使用するようなリソース共有を作成することはできません。これを行うには、2 つの異なるリソース共有を作成し、それらのリソースを分割して、それぞれのセットに異なる管理アクセス許可を付与する必要があります。管理アクセス許可には、2 つの異なるタイプがあります。
**AWS マネージドアクセス許可**
AWS 管理アクセス許可は、 によって作成および管理 AWS され、一般的な顧客シナリオに対するアクセス許可を付与します。 は、サポートされているリソースタイプごとに少なくとも 1 つの AWS 管理アクセス許可 AWS RAM を定義します。一部のリソースタイプは、複数の AWS 管理アクセス許可をサポートし、1 つの管理アクセス許可を AWS デフォルトとして指定します。特に指定しない限り、[デフォルトの AWS 管理アクセス許可](security-ram-permissions.md#permissions-types)は関連付けられます。
**カスタマー管理アクセス許可**
カスタマー管理アクセス許可は、 AWS RAMで共有リソースを使用する場合に、どのような条件下でどのアクションを実行できるかを正確に指定する、ユーザーが作成し管理する管理アクセス許可です。例えば、大規模な IP アドレスの管理に役立つ Amazon VPC IP Address Manager (IPAM) プールの読み取りアクセスを制限する場合を考えてみます。IP アドレスの割り当てはできるものの、他の開発者アカウントが割り当てた IP アドレスの範囲は表示できないようなカスタマー管理アクセス許可を開発者に対して作成することができます。最小特権のベストプラクティスに従って、必要なアクセス許可のみを付与し、共有リソースでタスクを実行できるような環境を構築することができます。
[グローバルコンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)や[サービス固有のキー](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)などの条件を追加して、プリンシパルがリソースにアクセスする条件を指定するオプションを使用して、リソース共有内のリソースタイプに対して独自のアクセス許可を定義します。これらのアクセス許可は、1 つ以上の AWS RAM 共有で使用できます。カスタマー管理アクセス許可はリージョンに固有のものです。
AWS RAM は、共有する[リソースのリソースベースのポリシー](#term-resource-based-policy)を作成するための入力としてマネージドアクセス許可を取得します。
## 管理アクセス許可のバージョン
管理アクセス許可を変更すると、管理アクセス許可の新しいバージョンが作成されます。新しいバージョンはすべての新しいリソース共有のデフォルトになります。各管理アクセス許可には、必ず 1 つのバージョンがデフォルトバージョンとして指定されています。または が新しいマネージドアクセス許可バージョン AWS を作成する場合は、既存のリソース共有ごとにマネージドアクセス許可を明示的に更新する必要があります。リソース共有に適用する前に、この手順で変更を評価できます。すべての新しいリソース共有は、対応するリソースタイプ用の新しいバージョンの管理アクセス許可を自動的に使用します。
**AWS マネージドアクセス許可バージョン**
AWS は、 AWS マネージドアクセス許可に対するすべての変更を処理します。このような変更で、新しい機能への対応や発見された不具合の除去を行うことができます。リソース共有には、デフォルトの管理アクセス許可のバージョンのみを適用できます。
**カスタマー管理アクセス許可のバージョン**
カスタマー管理アクセス許可へのすべての変更は、ユーザーが行います。ユーザーは、新しいデフォルトバージョンを作成したり、古いバージョンをデフォルトとして設定したり、リソース共有に関連付けられていないバージョンを削除したりできます。各カスタマー管理アクセス許可には最大 5 つのバージョンを作成できます。
リソース共有を作成または更新する場合、指定した管理アクセス許可のデフォルトバージョンのみをアタッチできます。詳細については、「[AWS マネージドアクセス許可を新しいバージョンに更新する](working-with-sharing-update-permissions.md)」を参照してください。
# AWS リソースの共有
を使用して所有しているリソースを共有するには AWS RAM、次の操作を行います。
+ [内でリソース共有を有効にする AWS Organizations](#getting-started-sharing-orgs) (オプション)
+ [リソース共有を作成する](#getting-started-sharing-create)
**注意事項**
リソースを所有 AWS アカウント する 以外のプリンシパルとリソースを共有しても、リソースを作成したアカウント内のリソースに適用されるアクセス許可やクォータは変更されません。
AWS RAM はリージョナルサービスです。共有するプリンシパルは、リソースが作成された AWS リージョン のリソース共有にのみアクセスできます。
リソースによっては、共有に関する特別な考慮事項と前提条件があります。詳細については、「[共有可能な AWS リソース](shareable.md)」を参照してください。
## 内でリソース共有を有効にする AWS Organizations
アカウントが によって管理されている場合 AWS Organizations、それを利用してリソースをより簡単に共有できます。組織の有無にかかわらず、ユーザーは個々のアカウントに共有できます。ただし、アカウントが組織内にある場合には、各アカウントを列挙しなくても、個々のアカウント、または組織内または OU 内のすべてのアカウントとの共有が可能です。
組織内でリソースを共有するには、まず AWS RAM コンソールまたは AWS Command Line Interface (AWS CLI) を使用して共有を有効にする必要があります AWS Organizations。組織内のリソースを共有する場合、 AWS RAM はプリンシパルに招待を送信しません。組織内のプリンシパルは、招待状を交換せずに共有リソースにアクセスできます。
組織内でリソース共有を有効にすると、 は というサービスにリンクされたロール AWS RAM を作成します`AWSServiceRoleForResourceAccessManager`。このロールは AWS RAM サービスのみが引き受けることができ、 AWS 管理ポリシー を使用して、自分が所属する組織に関する情報を取得する AWS RAM アクセス許可を付与します`AWSResourceAccessManagerServiceRolePolicy`。
**注記**
デフォルトでは、 との共有を有効にすると AWS Organizations、組織内のリソース共有によって、同じ組織内のコンシューマーへのアクセスが制限されます。コンシューマーアカウントが組織を離れると、そのアカウントはリソース共有内のリソースにアクセスできなくなります。この制限は、リソースを OU、組織全体、または組織内の個々のアカウントと共有する場合に適用されます。
組織内でのaccount-to-account共有の場合、新しいリソース共有を作成するときに `RetainSharingOnAccountLeaveOrganization`を に設定することで、アカウントが離れ`True`ても共有アクセスを保持できます。この設定を有効にすると、 は消費アカウントへの招待 AWS RAM を送信します (外部アカウントとの共有と同様)。アカウントは、組織を離れても共有リソースへのアクセスを保持します。
`RetainSharingOnAccountLeaveOrganization` 設定には、次の要件と制限があります。
は `allowExternalPrincipals`である必要があります `True`
新しいリソース共有を作成する場合にのみ設定できます
OUs または組織全体との共有には適用されません
`RetainSharingOnAccountLeaveOrganization` が に設定されている場合`True`、リソース共有を使用して[、組織内でのみ共有できる](shareable.html)リソースを共有することはできません。
組織全体または OU とリソースを共有する必要がなくなった場合は、リソース共有を無効にすることができます。詳細については、「[とのリソース共有の無効化 AWS Organizations](security-disable-sharing-with-orgs.md)」を参照してください。
**最小アクセス許可**
以下の処理を実行するには、次のアクセス許可を持つ組織の管理アカウントのプリンシパルでサインインする必要があります。
+ `ram:EnableSharingWithAwsOrganization`
+ `iam:CreateServiceLinkedRole`
+ `organizations:enableAWSServiceAccess`
+ `organizations:DescribeOrganization`
**要件**
+ これらの手順は、組織の管理アカウントのプリンシパルとしてサインインしている場合のみ実行できます。
+ その組織で、すべての機能が有効になっている必要があります。詳細については、「**AWS Organizations ユーザーガイド」の「[組織内のすべての機能の有効化](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)」を参照してください。
**重要**
AWS RAM コンソールまたは enable-sharing-with-aws-organization コマンド AWS Organizations を使用して、 との共有を有効にする必要があります。 [enable-sharing-with-aws-organization](https://docs.aws.amazon.com/cli/latest/reference/ram/enable-sharing-with-aws-organization.html) AWS CLI これにより、`AWSServiceRoleForResourceAccessManager` サービスにリンクされたロールが確実に作成されます。 AWS Organizations コンソールまたは [ enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) AWS CLI コマンドを使用して AWS Organizations で信頼されたアクセスを有効にすると、`AWSServiceRoleForResourceAccessManager`サービスにリンクされたロールは作成されず、組織内でリソースを共有することはできません。
------
#### [ Console ]
**組織内でリソース共有を有効にするには**
1. AWS RAM コンソールで**[設定](https://console.aws.amazon.com/ram/home#Settings:)**ページを開きます。
1. **「共有を有効にする AWS Organizations**」を選択し、**「設定の保存**」を選択します。
------
#### [ AWS CLI ]
**組織内でリソース共有を有効にするには**
[enable-sharing-with-aws-organization](https://docs.aws.amazon.com/cli/latest/reference/ram/enable-sharing-with-aws-organization.html) コマンドを使用します。
このコマンドは任意の で使用でき AWS リージョン、 AWS RAM がサポートされている AWS Organizations すべてのリージョンで との共有を有効にします。
```
$ aws ram enable-sharing-with-aws-organization
{
"returnValue": true
}
```
------
## リソース共有を作成する
所有するリソースを共有するには、リソース共有を作成します。プロセスの概要を次に示します。
1. 共有するリソースを追加します。
1. 共有に含める各リソースタイプで、リソースタイプで使用する[管理アクセス許可](getting-started-terms-and-concepts.md#term-managed-permission)を指定します。
+ 使用可能な AWS 管理アクセス許可の 1 つ、既存のカスタマー管理アクセス許可から選択するか、新しいカスタマー管理アクセス許可を作成できます。
+ AWS マネージドアクセス許可は、標準のユースケースをカバーする AWS ために によって作成されます。
+ カスタマー管理アクセス許可を使用すると、セキュリティやビジネスニーズに合わせて独自の管理アクセス許可をカスタマイズできます。
**注記**
選択した管理アクセス許可に複数のバージョンがある場合、 AWS RAM は自動的にデフォルトバージョンをアタッチします。アタッチできるのは、デフォルトとして指定されているバージョン***のみ***です。
1. リソースにアクセスできるようにしたいプリンシパルを指定します。
**考慮事項**
+ 後で共有に含めた AWS リソースを削除する必要がある場合は、まずそのリソースを含むリソース共有から削除するか、リソース共有を削除することをお勧めします。
+ リソース共有に含めることができるリソースタイプの一覧は「[共有可能な AWS リソース](shareable.md)」で確認できます。
+ 共有できるのは自分が[所有する](getting-started-terms-and-concepts.md#term-sharing-account)リソースのみです。自分が共有先になっているリソースを共有リソースにすることはできません。
+ AWS RAM はリージョナルサービスです。リソースを他の AWS アカウント内のプリンシパルと共有する場合、プリンシパルはリソースが作成されたのと同じ AWS リージョン から各リソースにアクセスする必要があります。サポートされているグローバルリソースについては、そのリソースのサービスコンソールとツールで AWS リージョン サポートされている任意の からそれらのリソースにアクセスできます。このようなリソース共有とそのグローバルリソースは、指定されたホームリージョンである米国東部 (バージニア北部) `us-east-1` の AWS RAM コンソールとツールでのみ表示できます。 AWS RAM および グローバルリソースの詳細については、「」を参照してください[リージョナルリソースの共有とグローバルリソースの共有の比較](working-with-regional-vs-global.md)。
+ 共有元のアカウントが の組織の一部 AWS Organizations であり、組織内での共有が有効になっている場合、共有する組織内のプリンシパルには、招待を使用せずにリソース共有へのアクセスが自動的に付与されます。組織のコンテキスト外で共有するアカウントのプリンシパルは、リソース共有に参加するための招待を受け取り、招待を受け入れた後でのみ、共有リソースへのアクセス権が付与されます。
+ サービスプリンシパルと共有する場合、他のプリンシパルをリソース共有に関連付けることはできません。
+ 組織の一部であるアカウントまたはプリンシパル間で共有する場合、組織のメンバーシップを変更すると、リソース共有へのアクセスに動的に影響します。
+ リソース共有にアクセスできる AWS アカウント を組織または OU に追加すると、その新しいメンバーアカウントは自動的にリソース共有にアクセスします。その後、共有先のアカウント管理者は、アカウント内の個々のプリンシパルに、共有内のリソースへのアクセス権を付与できます。
+ 組織またはリソース共有へのアクセス権を持つ OU からアカウントを削除する場合、そのアカウントのすべてのプリンシパルは、リソース共有からアクセス可能なリソースへのアクセス許可を自動的に失います。
+ メンバーアカウント、またはメンバーアカウントの IAM ロールまたはユーザーと直接共有し、そのアカウントを組織から削除する場合、そのアカウントのすべてのプリンシパルは、そのリソース共有からアクセス可能なリソースへのアクセス許可を失います。
**重要**
組織または OU と共有し、スコープにリソース共有を所有するアカウントが含まれる場合、共有アカウントのすべてのプリンシパルは、共有内のリソースに自動的にアクセスできるようになります。付与されるアクセスは、共有に関連付けられている管理アクセス許可によって定義されます。これは、共有内の各リソースにア AWS RAM タッチするリソースベースのポリシーが を使用するためです`"Principal": "*"`。詳細については、「["Principal": "\$1" をリソースベースのポリシーで使用することの影響](getting-started-terms-and-concepts.md#term-principal-star)」を参照してください。
他のコンシューマーアカウントのプリンシパルは、共有のリソースにすぐにはアクセスできません。他のアカウントの管理者は、まず ID ベースのアクセス許可ポリシーを適切なプリンシパルにアタッチする必要があります。これらのポリシーは、リソース共有内の個々のリソース ARN への `Allow` アクセスを付与する必要があります。これらのポリシーのアクセス許可は、リソース共有に関連付けられた管理アクセス許可で指定されているアクセス許可を超えることはできません。
+ リソース共有に追加できるのは、アカウントがメンバーとして所属する組織とその組織の OU のみです。組織の外部から OU または組織をプリンシパルとしてリソース共有に追加することはできません。ただし、個別に AWS アカウント 追加することも、サポートされているサービスの場合は、IAM ロールと組織外のユーザーをプリンシパルとしてリソース共有に追加することもできます。
**注記**
すべてのリソースタイプを IAM ロールやユーザーと共有できるわけではありません。これらのプリンシパルと共有できるリソースの詳細については、「[共有可能な AWS リソース](shareable.md)」を参照してください。
+ 次のリソースタイプについては、7 日以内に共有への招待を受け入れる必要があります。7 日以内に招待を受け入れない場合、招待は期限切れになり、自動的に辞退したことになります。
**重要**
以下のリストに**含まれていない**共有リソースタイプについては、**12 時間**以内にリソース共有への招待を受け入れる必要があります。12 時間が経過すると、招待は期限切れになり、リソース共有のエンドユーザープリンシパルとの関連付けが解除されます。エンドユーザーは招待を受け入れることができなくなります。
+ Amazon Aurora – DB クラスター
+ Amazon EC2 — キャパシティ予約と専有ホスト
+ AWS License Manager – ライセンス設定
+ AWS Outposts – ローカルゲートウェイルートテーブル、アウトポスト、サイト
+ Amazon Route 53 – 転送ルール
+ Amazon VPC — カスタマーが所有する IPv4 アドレス、プレフィックスリスト、サブネット、トラフィックミラーターゲット、トランジットゲートウェイ、トランジットゲートウェイマルチキャストドメイン
------
#### [ Console ]
**リソース共有を作成するには**
1. [AWS RAM コンソール](https://console.aws.amazon.com/ram/home) を開きます。
1. AWS RAM リソース共有は特定の に存在するため AWS リージョン、コンソールの右上隅 AWS リージョン にあるドロップダウンリストから適切な を選択します。グローバルリソースを含むリソース共有を表示するには、 AWS リージョン を米国東部 (バージニア北部)、 () に設定する必要があります`us-east-1`。グローバルリソース共有の詳細については、「[リージョナルリソースの共有とグローバルリソースの共有の比較](working-with-regional-vs-global.md)」を参照してください。リソース共有にグローバルリソースを含める場合は、指定されたホームリージョンである米国東部 (バージニア北部) `us-east-1` を選択する必要があります。
1. を初めて使用する場合は AWS RAM、ホームページから**リソース共有を作成する**を選択します。それ以外の場合、**[[Shared by me : Resource shares]](https://console.aws.amazon.com/ram/home#OwnedResourceShares:)** (自分が共有: リソース共有) から **[Create resource share**] (リソース共有の作成) を選択します。
1. **[Step 1: Specify resource share details]** (ステップ 1: リソース共有の詳細を指定する) で、以下の手順に従います。
1. **[Name]** (名前) に、リソース共有のわかりやすい名前を入力します。
1. **[Resources]** (リソース) で、リソース共有に追加するリソースを以下のように選択します。
+ **[Select resource type]** (ターゲットリソースの選択) で、共有するリソースのタイプを選択します。そうすることで、共有可能なリソースのリストが、選択したタイプのリソースのみに絞り込まれます。
+ 結果のリソースリストで、共有したい個々のリソースの横にあるチェックボックスをオンにします。選択したリソースが **[Selected resources]** (選択済みリソース) に移動します。
特定のアベイラビリティゾーンに関連付けられているリソースを共有する場合、アベイラビリティゾーン ID (AZ ID) を使用すると、アカウント間でこれらのリソースの場所を判別するのに役立ちます。詳細については、「[AWS リソースのアベイラビリティーゾーン ID](working-with-az-ids.md)」を参照してください。
1. (オプション) [タグをアタッチする](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)には、**[Tags]** (タグ) にタグのキーと値を入力します。**[Add new tag]** (新しいタグを追加) を選択して、他のユーザーを追加します。この手順を必要なだけ繰り返します。これらのタグは、リソース共有内のリソースには適用されず、リソース共有自体にのみ適用されます。
1. [**次へ**] を選択します。
1. **ステップ 2: 管理アクセス許可を各リソースタイプに関連付ける**には、 によって作成された管理アクセス許可 AWS をリソースタイプに関連付けるか、既存のカスタマー管理アクセス許可を選択するか、サポートされているリソースタイプに対して独自のカスタマー管理アクセス許可を作成できます。詳細については、「[管理アクセス許可のタイプ](security-ram-permissions.md#permissions-types)」を参照してください。
**[カスタマー管理アクセス許可の作成]** を選択して、共有ユースケースの要件を満たすカスタマー管理アクセス許可を作成します。詳細については、「[カスタマー管理アクセス許可を作成する](create-customer-managed-permissions.md#create_cmp)」を参照してください。プロセスが完了したら ![\[Refresh icon\]](http://docs.aws.amazon.com/ja_jp/ram/latest/userguide/images/refresh_icon.PNG) を選択し、**[管理アクセス許可]** ドロップダウンリストから新しいカスタマー管理アクセス許可を選択します。
**注記**
選択した管理アクセス許可に複数のバージョンがある場合、 AWS RAM はデフォルトバージョンを自動的にアタッチします。デフォルトとして指定されたバージョン***のみ***をアタッチできます。
管理アタッチで許可されているアクションを表示するには、**[この管理アタッチのポリシーテンプレートを表示]** を展開します。
1. [**次へ**] を選択します。
1. 「**手順 3: プリンシパルにアクセス権限を付与する**」で、以下を行います。
1. デフォルトでは、**誰とでも共有を許可する**が選択されます。つまり、それをサポートするリソースタイプでは、組織外の AWS アカウント とリソースを共有できます。これは、Amazon VPC サブネットなど、組織内*のみ*で共有できるリソースタイプには影響しません。[サポートされているリソースタイプ](shareable.md)の一部は、IAM ロールおよびユーザーと共有できます。
組織内のプリンシパルのみにリソース共有を制限するには、**[自分の組織内でのみ共有を許可]** を選択します。
1. **[Principals]** (プリンシパル) について、以下の操作をします。
+ 組織、組織単位 (OU)、または組織の一部 AWS アカウント である を追加するには、**組織構造の表示**をオンにします。そうすると組織図が表示されます。次いで、追加したい各プリンシパルの横にあるチェックボックスをオンにします。
**重要**
組織または OU と共有し、スコープにリソース共有を所有するアカウントが含まれる場合、共有アカウントのすべてのプリンシパルは、共有内のリソースに自動的にアクセスできるようになります。付与されるアクセスは、共有に関連付けられている管理アクセス許可によって定義されます。これは、共有内の各リソースにア AWS RAM タッチするリソースベースのポリシーが を使用するためです`"Principal": "*"`。詳細については、「["Principal": "\$1" をリソースベースのポリシーで使用することの影響](getting-started-terms-and-concepts.md#term-principal-star)」を参照してください。
他のコンシューマーアカウントのプリンシパルは、共有のリソースにすぐにはアクセスできません。他のアカウントの管理者は、まず ID ベースのアクセス許可ポリシーを適切なプリンシパルにアタッチする必要があります。これらのポリシーは、リソース共有内の個々のリソース ARN への `Allow` アクセスを付与する必要があります。これらのポリシーのアクセス許可は、リソース共有に関連付けられた管理アクセス許可で指定されているアクセス許可を超えることはできません。
+ 組織 (`o-` で始まる ID) を選択した場合、組織内のすべての AWS アカウント のプリンシパルがリソース共有にアクセスできます。
+ OU (`ou-` で始まる ID) を選択した場合、OU 内とその子 OU 内のすべての AWS アカウント のプリンシパルがリソース共有にアクセスできます。
+ 個人を選択した場合 AWS アカウント、そのアカウントのプリンシパルのみがリソース共有にアクセスできます。
**注記**
**[Display organizational structure]** (組織構造の表示) トグルが表示されるのは、 AWS Organizations とのが有効になっていて、組織の管理アカウントにサインインしているときのみです。
この方法で組織外の AWS アカウント または IAM ロール/ユーザーを指定することはできません。代わりに、**[組織構造を表示]** を無効にし、ドロップダウンリストとテキストボックスを使用して ID または ARN を入力します。
+ 組織外のプリンシパルを含む ID または ARN でプリンシパルを指定するには、プリンシパルごとにプリンシパルタイプを選択します。次に、ID (、組織 AWS アカウント、または OU の場合) または ARN (IAM ロールまたはユーザーの場合) を入力し、**追加**を選択します。使用可能なプリンシパルタイプと ID および ARN 形式は以下のとおりです。
+ **AWS アカウント** – を追加するには AWS アカウント、12 桁のアカウント ID を入力します。例えば、次のようになります。
`123456789012`
+ **組織** – 組織 AWS アカウント 内のすべての を追加するには、組織の ID を入力します。例えば、次のようになります。
`o-abcd1234`
+ **[Organizational unit (OU)]** (部門単位 (OU)) — OU を追加するには、OU の ID を入力します。例:
`ou-abcd-1234efgh`
+ **[IAM role]** (IAM ロール) — IAM ロールを追加するには、ロールの ARN を入力します。次の構文を使用します。
`arn:partition:iam::account:role/role-name`
例えば、次のようになります。
`arn:aws:iam::123456789012:role/MyS3AccessRole`
**注記**
IAM ロールの一意の ARN を取得するには、[IAM コンソールでロールのリストを表示し](https://console.aws.amazon.com/iamv2/home?#/roles)、[get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) AWS CLI コマンドまたは [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) API アクションを使用します。
+ **[IAM user]** (IAM ユーザー) — IAM ユーザーを追加するには、ユーザーの ARN を入力します。次の構文を使用します。
`arn:partition:iam::account:user/user-name`
例えば、次のようになります。
`arn:aws:iam::123456789012:user/bob`
**注記**
IAM ユーザーの一意の ARN を取得するには、[IAM コンソールでユーザーのリストを表示し](https://console.aws.amazon.com/iamv2/home?#/users)、 [https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html) AWS CLI コマンドまたは [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html) API アクションを使用します。
+ **サービスプリンシパル** — サービスプリンシパルを追加するには、**[プリンシパルタイプの選択]** ドロップボックスで **[サービスプリンシパル]** を選択します。 AWS サービスプリンシパル名を入力します。次の構文を使用します。
+ `service-id.amazonaws.com`
例えば、次のようになります。
`pca-connector-ad.amazonaws.com`
1. **[Selected principals]** (選択されたプリンシパル) について、指定したプリンシパルがリストに入っていることを確認します。
1. [**次へ**] を選択します。
1. **[Step 4: Review and create]** (ステップ 4: 確認して作成する) で、リソース共有に関する設定の詳細を見直します。任意のステップについて設定を変更するには、戻りたいステップに対応するリンクを選択して必要なだけ変更を加えます。
1. リソース共有を確認し終わった、**[Create resource share]** (リソース共有の作成) を選択します。
リソースとプリンシパルの関連付けが完了するまでに数分かかることがあります。リソース共有を使用する前にこのプロセスを完了させてください。
1. リソースとプリンシパルの追加および削除、リソース共有へのカスタムタグの適用はいつでもできます。リソース共有に含まれるリソースタイプのうち、デフォルトの管理アクセス許可以外をサポートするタイプについては、管理アクセス許可を変更できます。リソースを共有する必要がなくなったら、リソース共有を削除できます。詳細については、「[所有する AWS リソースの共有](working-with-sharing.md)」を参照してください。
------
#### [ AWS CLI ]
**リソース共有を作成するには**
[https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) コマンドを使用します。次のコマンドは、組織 AWS アカウント 内のすべての と共有されるリソース共有を作成します。共有には AWS License Manager ライセンス設定が含まれており、そのリソースタイプのデフォルトの管理アクセス許可を付与します。
**注記**
このリソース共有のリソースタイプでカスタマー管理アクセス許可を使用する場合は、既存のカスタマー管理アクセス許可を使用するか、新しいカスタマー管理アクセス許可を作成します。カスタマー管理アクセス許可の ARN をメモし、リソース共有を作成します。詳細については、「[カスタマー管理アクセス許可を作成する](create-customer-managed-permissions.md#create_cmp)」を参照してください。
```
$ aws ram create-resource-share \
--region us-east-1 \
--name MyLicenseConfigShare \
--permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
--resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \
--principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
"resourceShare": {
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
"name": "MyLicenseConfigShare",
"owningAccountId": "123456789012",
"allowExternalPrincipals": true,
"status": "ACTIVE",
"creationTime": "2021-09-14T20:42:40.266000-07:00",
"lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
}
}
```
------
# 共有 AWS リソースの使用
を使用してアカウントと共有されたリソースの使用を開始するには AWS Resource Access Manager、次のタスクを実行します。
**Topics**
+ [リソース共有の招待に応答する](#getting-started-shared-respond-invitation)
+ [自分が共有先になっているリソースを使用する](#getting-started-shared-use-resources)
## リソース共有の招待に応答する
リソース共有の招待状を受け取った場合、共有リソースへのアクセス許可を得るには、その招待を受け入れる必要があります。
招待状は、次のシナリオでは使用されません。
+ の組織に属 AWS Organizations していて、組織内の共有が有効になっている場合、組織内のプリンシパルは招待なしで共有リソースに自動的にアクセスします。
+ リソースを所有 AWS アカウント する と共有する場合、そのアカウントのプリンシパルは招待なしで共有リソースに自動的にアクセスします。
------
#### [ Console ]
**招待に応答するには**
1. AWS RAM コンソールで **[[Shared with me : Resource shares]](https://console.aws.amazon.com/ram/home#SharedResourceShares:)** (自分と共有: リソース共有) ページを開きます。
**注記**
リソース共有は、リソース共有が作成された AWS リージョン にのみ表示されます。予想されるリソース共有がコンソールに表示されない場合は、右上隅のドロップダウンコントロール AWS リージョン を使用して別のリソース共有に切り替える必要がある場合があります。
1. 自分にアクセスが付与されたリソース共有のリストを見直します。
**[Status]** (ステータス) 列は、リソース共有の現在の参加ステータスを示します。`Pending` ステータスは、受信者がリソース共有に追加されたけれども招待を受け入れても拒否してもいないことを示します。
1. リソース共有の招待に応答するには、リソース共有 ID を選択し、**[Accept resource share]** (リソース共有を承諾する) または **[Reject resource share]** (リソース共有を拒否する) を選択します。招待を拒否すると、リソースにアクセスできなくなります。招待を受け入れると、リソースにアクセスできます。
------
#### [ AWS CLI ]
開始するには、使用可能なリソース共有の招待状のリストを取得します。次のコマンド例は、`us-west-2` リージョンで実行され、単一のリソース共有が `PENDING` 状態で利用可能であることを示します。
```
$ aws ram get-resource-share-invitations
{
"resourceShareInvitations": [
{
"resourceShareInvitationArn": "arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111",
"resourceShareName": "MyNewResourceShare",
"resourceShareArn": "arn:aws:ram:us-west-2:111122223333:resource-share/1234abcd-ef12-9876-5432-bbbbbb222222",
"senderAccountId": "111122223333",
"receiverAccountId": "444455556666",
"invitationTimestamp": "2021-09-15T15:00:32.568000-07:00",
"status": "PENDING"
}
]
}
```
前のコマンドで指定された招待状の Amazon リソースネーム (ARN) を次のコマンドでパラメータとして使用することで招待を受け入れることができます。
```
$ aws ram accept-resource-share-invitation \
--resource-share-invitation-arn arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111
{
"resourceShareInvitation": {
"resourceShareInvitationArn": "arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111",
"resourceShareName": "MyNewResourceShare",
"resourceShareArn": "arn:aws:ram:us-west-2:111122223333:resource-share/1234abcd-ef12-9876-5432-bbbbbb222222",
"senderAccountId": "111122223333",
"receiverAccountId": "444455556666",
"invitationTimestamp": "2021-09-15T15:14:12.580000-07:00",
"status": "ACCEPTED"
}
}
```
出力には `status` が `ACCEPTED` に変わったことが示されます。これで、そのリソース共有に含まれるリソースを受け入れ側アカウントのプリンシパルで使用できるようになりました。
------
## 自分が共有先になっているリソースを使用する
リソース共有への招待を受け入れると、共有リソースについて特定のアクションを実行できるようになります。これらのアクションはリソースのタイプによって異なります。詳細については、「[共有可能な AWS リソース](shareable.md)」を参照してください。リソースは、各リソースのサービスコンソールと API/CLI 操作で直接利用できます。リソースがリージョンにある場合は、サービスコンソールまたは API/CLI コマンド AWS リージョン で正しい を使用する必要があります。リソースがグローバルの場合は、指定されたホームリージョンである米国東部 (バージニア北部) `us-east-1` を使用する必要があります。リソースを表示するには AWS RAM、リソース共有 AWS リージョン が作成された に対して AWS RAM コンソールを開く必要があります。