翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Verified Access グループ
Verified Access グループは、複数の Verified Access エンドポイントと、グループ内のすべてのエンドポイントに適用される 1 つの Verified Access ポリシーで構成されます。共通のセキュリティ要件を持つエンドポイントをグループ化して、複数のエンドポイントの最小セキュリティ要件を満たす単一のグループポリシーを定義できます。このため、エンドポイントごとにポリシーを作成して維持する必要がなくなります。
たとえば、すべての営業アプリケーションをグループ化して、グループ全体のアクセスポリシーを設定できます。その後、このポリシーを使用して、すべての営業アプリケーションに共通の最低限のセキュリティ要件を定義できます。このアプローチは、ポリシー管理の簡素化に役立ちます。
グループを作成する際、グループを Verified Access インスタンスに関連付ける必要があります。エンドポイントを作成する過程で、エンドポイントをグループに関連付けます。
Verified Access グループのもう 1 つの機能は、 を使用して他のAWSアカウントと共有できることですAWS RAM。これにより、1 つのアカウントでグループの作成と管理を一元的に行い、それらのグループを複数のアカウントと共有することができます。
**Topics**
+ [Verified Access グループの作成と管理](create-verified-access-group.md)
+ [Verified Access グループポリシーの変更](modify-verified-access-group-policy.md)
+ [別のアカウントとのグループの共有](sharing-groups.md)
+ [Verified Access グループを削除する](delete-verified-access-group.md)
# Verified Access グループの作成と管理
Verified Access グループを使用して、セキュリティ要件に基づいてエンドポイントを整理します。Verified Access エンドポイントを作成するときは、エンドポイントをグループと関連付けます。
**Topics**
+ [Verified Access グループの作成](#create-group)
+ [Verified Access グループを変更する](#modify-group)
## Verified Access グループの作成
Verified Access グループを作成するには、次の手順に従います。Verified Access グループを作成する前に、Verified Access インスタンスを作成する必要があります。詳細については、「[Verified Access インスタンスの作成](create-verified-access-instance.md#create-instance)」を参照してください。
**コンソールを使用して Verified Access グループを作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで, [** Verified Access グループ**] を選択し、次に [** Verified Access グループの作成**] を選択します。
1. (オプション) [**名前タグ**] と [**説明**] に、グループの名前と説明を入力します。
1. [**Verified Access インスタンス**] には、グループに関連付ける Verified Access インスタンスを選択します。
1. (オプション)[**ポリシー定義**] には、グループに適用する Verified Access ポリシーを入力します。
1. (オプション) タグを追加するには、[**新しいタグを追加**] を選択し、そのタグのキーと値を入力してください。
1. [** Verified Access グループの作成**] を選択します。
**を使用して Verified Access グループを作成するにはAWS CLI**
[create-verified-access-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-group.html) コマンドを使用します。
## Verified Access グループを変更する
Verified Access グループを変更するには、次の手順に従います。
**コンソールを使用して Verified Access グループを変更するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで, [** Verified Access グループ**] を選択し、次に [** Verified Access グループの作成**] を選択します。
1. グループを選択し、**アクション**、**検証済みアクセスグループの変更**を選択します。
1. (オプション) 説明を更新します。
1. [** Verified Access グループの作成**] を選択します。
1. グループに関連付ける Verified Access インスタンスを選択します。
**を使用して Verified Access グループを変更するにはAWS CLI**
[modify-verified-access-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-group.html) コマンドを使用します。
# Verified Access グループポリシーの変更
AWS Verified Accessは、作成したアクセスポリシーに基づいてアプリケーションへのアクセスを許可します。グループにアタッチした Verified Access ポリシーは、グループ内のすべてのエンドポイントに継承されます。オプションで、アプリケーション固有のポリシーを特定のエンドポイントにアタッチできます。
Verified Access グループのポリシーを変更するには、次の手順に従います。変更を行った後、変更が有効になるまでには数分かかります。
**コンソールを使用して Verified Access グループポリシーを変更するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、[** Verified Access グループ**] を選択します。
1. グループを選択します。
1. [**アクション**]、[** Verified Access グループポリシーの変更**] を選択します。
1. (オプション) 必要に応じて **[ポリシーを有効にする]** をオンまたはオフにします。
1. (オプション) **[ポリシー]** に、グループに適用する Verified Access ポリシーを入力します。
1. [** Verified Access グループポリシーの変更**] を選択します。
**を使用して Verified Access グループポリシーを変更するにはAWS CLI**
[modify-verified-access-group-policy](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-group-policy.html) コマンドを使用します。
# Verified Access グループを別のグループと共有するAWS アカウント
所有している Verified Access グループを他のAWSアカウントと共有する場合、それらのアカウントがグループに Verified Access エンドポイントを作成できるようにします。Verified Access グループを作成したアカウントは、*所有者*アカウントと呼ばれます。共有グループを使用するアカウントは、*コンシューマー*アカウントと呼ばれます。
以下の図は、Verified Access グループを共有する利点を示しています。中央セキュリティチームはアカウント A を所有しています。 のユーザーとグループを管理しAWS IAM アイデンティティセンター、Verified Access 信頼プロバイダー、Verified Access インスタンス、Verified Access グループ、Verified Access ポリシーなどの内部アプリケーションへのアクセスを提供するために必要な Verified Access リソースを管理します。アプリケーションチームはアカウント B を所有しています。ロードバランサー、Auto Scaling グループ、Amazon Route 53 の DNS 設定、 AWS Certificate Manager(ACM) の TLS 証明書など、内部アプリケーションの実行に必要なリソースを管理します。中央セキュリティチームが Verified Access グループをアカウント B と共有したら、アプリケーションチームは、共有されたグループを使用して Verified Access エンドポイントを作成できます。アプリケーションへのアクセスは、中央セキュリティチームが Verified Access グループに作成したポリシーに基づいて許可または拒否されます。
![\[組織内のアカウント間で Verified Access グループを共有する。\]](http://docs.aws.amazon.com/ja_jp/verified-access/latest/ug/images/shared-groups.png)
## 考慮事項
共有 Verified Access グループには、以下の考慮事項が適用されます。
**Owners**
+ Verified Access グループを共有するには、ユーザーに `ec2:PutResourcePolicy` および `ec2:DeleteResourcePolicy` アクセス許可が必要です。
+ Verified Access グループを共有するには、そのグループを所有している必要があります。自分に共有された Verified Access グループを共有することはできません。
+ 組織内のアカウントとの共有を有効にすると、Verified Access グループなどのリソースを、招待を使用せずに共有することができます。有効にしない場合、コンシューマーは招待を受け取り、共有グループにアクセスするには招待を受け入れる必要があります。共有を有効にするには、組織の管理アカウントから、AWS RAMコンソール**[の設定](https://console.aws.amazon.com/ram/home#Settings:)**ページを開き、**共有を有効にするAWS Organizations**を選択します。
+ 関連付けられた Verified Access エンドポイントがある場合は、グループを削除することはできません。コンシューマーアカウントによって作成されたエンドポイントは、所有者アカウントの **[Verified Access エンドポイント]** ページで確認できます。エンドポイントの所有者のアカウント ID は、エンドポイントの証明書の Amazon リソースネーム (ARN) に反映されます。
**コンシューマー**
+ 自分と共有されている Verified Access グループを確認するには、コンソールで **[Verified Access グループ]** ページを開くか、[describe-verified-access-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-verified-access-groups.html) を呼び出します。所有者のアカウント ID は、**[所有者]** フィールドとグループの Amazon リソースネーム (ARN) に反映されます。
+ Verified Access エンドポイントを作成するときは、自分に共有された Verified Access グループをどれでも指定できます。
+ 共有グループに関連付けられているエンドポイントのうち、自分が所有していないエンドポイントは表示できません。
+ Verified Access グループの所有者がリソース共有を削除した場合、グループ内に新しい Verified Access エンドポイントを作成することはできません。リソース共有を削除する前に作成した Verified Access エンドポイントは、リソース共有の削除の影響を受けません。ただし、共有グループの所有者はコンシューマーのエンドポイントを削除できます。
## リソース共有
Verified Access グループを共有するには、リソース共有に追加する必要があります。リソース共有は、共有するリソースと、共有されたリソースを使用できるコンシューマーを指定するものです。
**コンソールを使用して Verified Access グループを共有するには**
1. [https://console.aws.amazon.com/ram/home](https://console.aws.amazon.com/ram/home) でAWS RAMコンソールを開きます。
1. 組織にリソース共有がない場合は、リソース共有を作成します。プリンシパルでは、組織全体、組織単位、または特定のAWSアカウントを選択できます。
1. リソース共有を選択し、**[変更]** を選択します。
1. `Resources` で、リソースタイプとして **[Verified Access グループ]** を選択し、共有するリソースグループを選択します。
1. **[確認と更新にスキップ]** を選択します。
1. **[リソース共有を更新]** を選択します。
詳細については、「*AWS RAM ユーザーガイド*」の「[Create a resource share](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create)」を参照してください。
# Verified Access グループを削除する
不要になった Verified Access グループは、削除することができます。関連付けられた Verified Access エンドポイントがある場合は、グループを削除することはできません。
**コンソールを使用して Verified Access グループを削除するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、[** Verified Access グループ**] を選択します。
1. グループを選択します。
1. [**アクション**]、[** Verified Access グループの削除**] を選択します。
1. 確認を求められたら、「**delete**」と入力してから、[**削除**] を選択します。
**を使用して Verified Access グループを削除するにはAWS CLI**
[delete-verified-access-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-group.html) コマンドを使用します。