AWS認定資格 WEB問題集＆徹底解説

会員登録/ログイン

1. サービス概要

AWS RAM（Resource Access Manager）は、AWSリソースを他のAWSアカウントやOrganizations内の組織単位（OU）と安全に共有するサービスです。リソースを複製せずに共有することで、リソースの重複作成を避けてコストと運用を削減できます。

例えば、1つのVPCサブネットを複数のアカウントで共有したり、Transit Gatewayを組織全体で共有したりできます。共有されたリソースは各アカウントが自分のリソースのように利用できます。

2. 主な特徴と機能

2.1 共有可能な主要リソース

• VPCサブネット: VPC共有により複数アカウントが同一VPC内のサブネットにリソースを配置（共有VPC）。
• Transit Gateway: 組織全体でTGWを共有してマルチアカウントのネットワークハブを構築。
• Route 53 Resolver Rules: DNSフォワーディングルールを組織全体で共有。
• License Manager設定: ライセンス構成を共有。
• その他: Aurora DBクラスター・Capacity Reservation・Dedicated Host・Network Firewall・Image Builder等。

2.2 リソース共有（Resource Share）

共有の単位。共有するリソース・プリンシパル（共有先のアカウント/OU/組織）・許可（マネージドパーミッション）を定義します。

2.3 Organizations統合

Organizationsとの統合を有効化すると、個別の招待承認なしに組織内アカウントへリソースを共有できます。組織外のアカウントへ共有する場合は招待の承認が必要です。

2.4 共有VPC（VPC Sharing）

RAMの代表的なユースケース。所有者アカウントがVPCとサブネットを管理し、参加者アカウントが共有サブネットにEC2/RDS/ELB等を起動。ネットワークの一元管理とアカウント分離を両立。

3. アーキテクチャおよび技術要素

1. 所有者アカウントでRAMの「リソース共有」を作成（共有リソース・プリンシパル・パーミッションを指定）。
2. Organizations統合時は組織内アカウントへ自動共有。組織外は招待→相手が承認。
3. 共有を受けたアカウントは、共有リソースを自分のコンソール/APIから利用可能（サブネットにEC2を起動等）。

4. セキュリティと認証・認可

• マネージドパーミッション: 共有リソースに対して共有先が実行できるアクションを定義。
• 所有権の維持: 共有されてもリソースの所有権は所有者アカウントに残る。参加者は利用のみ（削除等の管理権限はなし）。
• Organizations信頼: 組織内共有は信頼関係に基づき招待不要。組織外は明示的な招待承認でセキュリティを担保。

5. 料金形態

• AWS RAM自体: 無料（リソース共有の作成・管理に追加料金なし）。
• 共有されたリソースの利用料金は、利用したアカウントまたは所有者アカウントに通常通り課金（リソースによる）。

6. よくあるアーキテクチャ・設計パターン

• 共有VPC（ネットワーク一元管理）: ネットワーク管理アカウントがVPC/サブネットを所有・管理→各アプリチームのアカウントが共有サブネットにリソースを配置。ネットワーク統制とアカウント分離を両立。
• Transit Gateway共有: ネットワークアカウントがTGWを所有→RAMで全アカウントに共有→各アカウントがTGWアタッチメントを作成。マルチアカウントのハブアンドスポーク構成を実現。
• 集中DNSルール: Route 53 Resolver RuleをRAMで共有して組織全体で統一されたオンプレDNSフォワーディングを実現。

7. 設定・デプロイ手順（ハンズオン例）

1. RAMコンソール→「リソース共有を作成」。
2. 共有するリソース（例: サブネット）を選択。
3. プリンシパルを指定（組織・OU・特定アカウントID）。
4. マネージドパーミッションを選択して作成。
5. 共有先アカウントで共有リソースが利用可能になったことを確認（組織外なら招待を承認）。

8. 試験で問われやすいポイント