tsumiki-media logo

tsumiki-media

Command Palette

Search for a command to run...

AWSベストプラクティス
約17分
上級
7/10
2025年8月3日

AWS SCS-C02 対策 AWS Resource Access Manager マルチアカウント環境のリソース共有戦略

AWS Resource Access Managerを活用したマルチアカウント環境でのネットワーク・セキュリティリソース共有、コスト最適化、統制管理を実践問題で完全攻略。

この記事のポイント

  • 1
    AWS RAMによるマルチアカウント環境でのリソース共有メカニズムを理解する
  • 2
    ネットワーク・セキュリティリソースの効率的な共有パターンを習得する
  • 3
    Organizations統合による統制管理とコスト最適化手法を把握する

目次

AWS Resource Access Manager(RAM)の基本

AWS Resource Access Manager(RAM)は、マルチアカウント環境でのリソース共有を一元管理するサービスです。組織内で重複投資を削減し、統制された方法で安全にリソース共有を実現します。AWS Organizationsと深く統合され、OU(組織単位)レベルでの共有管理が可能です。

リソース共有モデル

RAMではリソース所有者リソース利用者を明確に分離します。所有者が共有設定と権限を管理し、利用者は共有されたリソースにアクセスするだけです。この分離により、セキュリティ統制運用効率化を両立できます。

所有者アカウント

リソースの作成・設定・削除権限を保持。共有設定と共有先の管理を担当。コスト負担とライフサイクル管理の責任を持つ。

利用者アカウント

共有リソースへの使用権のみ。設定変更や削除は不可能。最小権限の原則に基づく安全なアクセスが保証される。

Organizations統合

OU単位での一括共有設定。新規アカウント追加時の自動共有適用。組織全体の統制とガバナンス強化を実現。

対応リソースタイプ

RAMが対応する主要リソースは、ネットワークセキュリティ運用効率化の3カテゴリに分類されます。各リソースタイプで共有の制約と利用方法が異なります。

ネットワーク

主要リソース
VPCサブネット、Transit Gateway、Route 53 Resolver
共有粒度
サブネット単位、TGWアタッチメント単位
アクセス制御
セキュリティグループ、ルートテーブル
利用場面
共有VPC設計、コスト最適化

セキュリティ

主要リソース
CloudHSM、KMSキー、プライベートホストゾーン
共有粒度
HSMクラスター、KMSキー単位
アクセス制御
IAMポリシー、リソースポリシー
利用場面
暗号化統制、HSM集約利用

運用管理

主要リソース
License Manager、Image Builder、Aurora
共有粒度
ライセンス、AMI、DB読み取り専用
アクセス制御
使用量制限、読み取り専用アクセス
利用場面
ライセンス管理、標準AMI配布

ネットワークリソースの共有戦略

VPCサブネット共有は、マルチアカウント環境でのコスト削減と運用効率化の中核です。共有サービスアカウントからOU単位で提供し、事業部門アカウントでの重複投資を削減します。

VPCサブネット共有による統制

共有VPC設計では、ネットワーク設定の一元管理と利用者の分離を実現します。利用者アカウントは共有サブネット内でEC2等を起動できますが、ネットワーク設定の変更権限は持ちません。

1
共有VPCの設計
共有サービスアカウントでVPCとサブネットを作成
2
RAMリソース共有作成
対象サブネットを選択してリソース共有を作成
Note:複数サブネットの同時共有も可能
3
共有先の指定
Organizations OU単位または個別アカウント指定で共有先を設定
4
共有招待の承認
利用者アカウントで共有招待を承認(Organizationsの場合は自動承認設定可能)
5
セキュリティグループ設定
利用者アカウントで独自のセキュリティグループを作成・適用
Note:共有サブネット内でもアカウント間の通信制御が可能

部門間セキュリティ分離

共有サブネット利用時も論理的な分離は維持されます。セキュリティグループは各アカウントで独立管理され、他アカウントのリソースへの直接アクセスは制限されます。

ベストプラクティス

VPCサブネット共有により、重複ネットワーク投資の削減とIPアドレス空間の効率的利用が実現されます。一元的なネットワーク管理により運用負荷を軽減しながら、セキュリティグループによる部門間通信の制御可能性も維持できます。

セキュリティリソースの共有

CloudHSMKMSキーの共有では、暗号化処理の統制と効率化を実現します。中央セキュリティアカウントからの一元管理で、規制要件への対応も簡素化されます。

CloudHSM跨ぎアカウント利用

CloudHSM共有では、HSMクラスターへの接続にネットワーク共有が必要です。VPCサブネット共有とセキュリティグループ設定の組み合わせで、安全な跨ぎアカウントアクセスを実現します。

CloudHSM跨ぎアカウント共有アーキテクチャ

CloudHSM跨ぎアカウント共有アーキテクチャ

上図のように、中央セキュリティアカウントのCloudHSMを利用者アカウントから使用するには、VPCサブネット共有が前提となります。HSM自体はRAMで直接共有できないため、ネットワーク接続を共有して利用します。

最小権限アクセス制御

CloudHSM利用では、最小権限の原則を徹底します。利用者アカウントには暗号化・復号化権限のみ付与し、HSMクラスターの管理権限は所有者アカウントが保持します。

所有者アカウント権限

CloudHSMクラスターの作成・削除・設定変更。HSMユーザー管理とキー管理。コスト管理とライフサイクル制御。

利用者アカウント権限

暗号化・復号化操作のみ。共有VPCサブネット内からのネットワークアクセス。セキュリティグループによる接続制御。

実践問題で確認

AWS RAMの理解度を、実践的な問題形式で確認しましょう。各問題は異なるリソース共有シナリオを扱っています。

AWS認定セキュリティ - 専門知識

練習問題

大手製薬会社は、複数のAWSアカウントを持つマルチアカウント環境を運用しています。この会社は以下のアカウント構造を持っています: - 管理アカウント(Organizations管理用) - セキュリティアカウント(セキュリティ監視・管理用) - 共有サービスアカウント(共通インフラ管理用) - 複数の事業部門アカウント(研究開発、臨床試験、マーケティングなど) 最近、コスト最適化の一環として、会社は各事業部門アカウントでVPCとサブネットを個別に作成する代わりに、ネットワークリソースを共有することを決定しました。また、セキュリティ要件として、部門間のリソース分離を確保する必要があります。 セキュリティエンジニアは、次の要件を満たすソリューションを設計する必要があります: 1. 共有サービスアカウントのネットワークリソースを事業部門アカウントに提供する 2. 各事業部門が他の事業部門のリソースを変更できないようにする 3. 管理と監視を一元化する 4. 拡張性を確保する これらの要件を満たす最も効率的なアプローチはどれですか?

AWS認定セキュリティ - 専門知識

練習問題

ある大手オンライン小売企業は、AWS Organizations を使用してマルチアカウント環境を導入しています。企業のセキュリティチームはデータ保護のために、決済処理用の暗号化モジュールとして AWS CloudHSM を中央セキュリティアカウントにデプロイしています。 新しく設立された越境ECチームが専用の AWS アカウントを作成しました。このチームは、国際的な決済処理のために中央セキュリティアカウントにホストされている CloudHSM を使用する必要があります。 セキュリティエンジニアは、最小権限の原則を維持しながら、どのようにして中央セキュリティアカウントの CloudHSM を新しい越境ECアカウントと共有すべきですか?

AWS認定セキュリティ - 専門知識

練習問題

あるヘルスケア企業がAWS Organizationsを使用してマルチアカウント戦略を実装しています。この企業では現在、以下のAWSアカウント構造を持っています: - 中央セキュリティアカウント(Security-A):セキュリティサービスとコンプライアンスの監視を担当 - データアカウント(Data-A):機密性の高い医療データの保存と処理を担当 - 複数の開発アカウント(Dev-1、Dev-2、Dev-3):各部門のアプリケーション開発を担当 - テスト/QAアカウント(Test-A):すべての部門のアプリケーションテストを担当 この企業は、HIPAA(医療保険の携行性と責任に関する法律)コンプライアンスを満たすために、以下の新しいセキュリティ要件を導入しました: - すべての機密医療データはData-Aアカウントに一元管理する - 開発アカウントとテストアカウントは、Data-Aアカウント内のデータへの読み取り専用アクセスが必要 - データへのアクセスはすべて監査可能である必要がある - 各アカウントは他のアカウントのアクセス権を変更できない - 新しい開発アカウントが追加された場合でも、同じアクセスモデルを維持する これらの要件を満たし、最も効率的にアカウント間でデータを安全に共有するためのソリューションはどれですか?

まとめ

AWS Resource Access Manager(RAM)は、マルチアカウント環境でのリソース共有を効率化し、コスト削減と統制管理を両立する重要なサービスです。特にVPCサブネット共有CloudHSM共有は、実際の企業環境で重要な実装パターンです。

共有サービスアカウントからOU単位でサブネットを提供。事業部門アカウントでの重複投資を削減し、ネットワーク設定の一元管理を実現。セキュリティグループによる門間分離も維持。

中央セキュリティアカウントのCloudHSMを他アカウントで利用。VPCサブネット共有+セキュリティグループ設定で安全な接続を確立。最小権限の原則を維持したアクセス制御。

OU単位での一括共有設定により運用負荷を最小化。新規アカウント追加時の自動共有適用。CloudTrail統合による完全な監査証跡で規制要件に対応。

これらのポイントを押さえることで、RAM関連の試験問題を効率的に解答できるようになります。特に共有リソースタイプアクセス制御方法の理解が重要です。

理解度チェック

RAMの所有者・利用者モデルとOrganizations統合のメリットを説明できるか?

VPCサブネット共有による部門間分離とコスト削減効果を理解しているか?

CloudHSM跨ぎアカウント利用の実装方法と制約を把握しているか?

他の問題も解いてみませんか?

tsumikiでは、AWS認定試験の合格に必要な知識を体系的に学習できます。実践的な問題を通じて、AWSスキルを身につけましょう。

tsumikiで学習する