あめがえるのITブログ

頑張りすぎない。ほどほどに頑張るブログ。

AWS Resource Accesss Manager(RAM)について調べてみた

AWS SAPの試験に出てたので調べてみた。

Resource Access Managerとは

組織内のAWSアカウント間またはAWS Organizations内の組織単位(OU)間で、サポートされているリソースタイプのリソースを安全に共有する。これによりすべてのアカウントでリソースをプロビジョニングおよび管理する必要がなくなる。リソースをほかのアカウントと共有する場合、そのアカウントにリソースへのアクセス権が付与され、そのアカウントのポリシーと許可が共有リソースに適用される。

共有できるリソースタイプ

※一部抜粋
 ・Amazon Aurora
 ・AWS CodeBuild
 ・Amazon EC2
 ・AWS Glue
 ・AWS Marketplace
 ・Amazon Route53
 ・Amazon SageMaker
 ・Amazon VPC
※あまり数はなさげ。今後増えるのかな。
docs.aws.amazon.com

メリデメ

メリット:
 ・中央管理: 一元的なアカウントでリソースを作成し、複数のアカウント間でそれを共有することができる。
 ・コスト節約: 一度作成したリソースを複数のアカウントで再利用できるため、同じリソースの複製を作成する必要がなくなり、コストが削減される。
 ・セキュリティの向上: 共有リソースに対するアクセスを中央から制御できるため、セキュリティポリシーの一貫性が向上する。

デメリット:
 ・複雑さの増加: RAM を使用してリソースを共有すると、誰がどのリソースにアクセスできるかの追跡が難しくなる可能性がある。これにより、アクセス制御の複雑さが増加する可能性がある。
 ・依存関係: リソースが複数のアカウント間で共有されると、そのリソースに依存する他のリソースやアプリケーションが影響を受ける可能性がある。
 ・誤操作のリスク: リソースを間違って共有した場合や、不適切なアクセス許可を付与した場合、セキュリティの問題が生じる可能性がある。
 ・制限: 全ての AWS リソースが RAM で共有できるわけではないため、利用可能なリソースのタイプに制限があることを理解する必要がある。
 ・トラブルシューティングの難しさ: 問題が発生した場合、RAM を使用して共有されているリソースのデバッグトラブルシューティングが難しくなる可能性がある。

利用ケース

 ・マルチアカウント環境: 大規模な組織では、開発、テスト、本番環境などの異なる用途や部門、プロジェクトごとに複数の AWS アカウントを持つことが一般的。RAM を使用すると、これらの異なるアカウント間でリソースを効率的に共有することができる。
 ・VPC サブネットの共有: サービスの提供や複数のアカウント間でのネットワーク接続を容易にするために、VPC サブネットを共有する場面がある。
 ・AWS License Manager 設定の共有: 複数のアカウント間でソフトウェアライセンスの使用を一貫して管理する場合、License Manager 設定を共有することが有効。
 ・AWS Transit Gateway の共有: 複数の VPC やオンプレミスネットワークを接続する Transit Gateway を複数の AWS アカウントと共有することで、ネットワークの一元管理を行うことができる。
 ・AWS Systems Manager Parameter Store の共有: 複数のアカウントで一貫した設定管理やシークレットの管理を行う場合、Parameter Store のパラメータを共有することが有効。
 ・リソースの集中管理: リソースを一元的に管理する主要アカウントを持ち、それを他のアカウントと共有することで、リソースの管理と監視の効率を向上させることができる。
 ・セキュリティとコンプライアンス: リソースの共有を集中的に管理することで、アクセス制御や監査の一貫性を向上させ、セキュリティとコンプライアンスの要件を満たすことができる。

感想

なるほど、使う機会あるかな(´Д`)