# データ境界を使用してアクセス許可のガードレールを確立する
データ境界ガードレールは、さまざまな AWS アカウントやリソースでデータを保護するための、常時オンの境界として機能します。データ境界は、IAM セキュリティのベストプラクティスに従い、[複数のアカウントにまたがるアクセス許可ガードレールを確立します](best-practices.md#bp-permissions-guardrails)。このような組織全体のアクセス許可ガードレールは、既存のきめ細かいアクセスコントロールに取って代わるものではありません。その代わり、ユーザー、ロール、リソースが定義された一連のセキュリティ標準に準拠するようにすることで、セキュリティ戦略の改善に役立つ、**粗粒度のアクセスコントロール**の役割を果たします。
データ境界は、信頼できる ID だけが想定されるネットワークから信頼できるリソースにアクセスできるようにするための、AWS 環境内のアクセス許可ガードレールのセットです。
+ 信頼できる ID: AWS アカウントのプリンシパル (IAM ロールまたはユーザー)、およびユーザーに代わって動作する AWS サービス。
+ 信頼できるリソース: AWS アカウントまたはユーザーに代わって動作する AWS サービスが所有するリソース。
+ 想定されるネットワーク: オンプレミスデータセンターおよび仮想プライベートクラウド (VPC)、またはユーザーに代わって動作する AWS サービスのネットワーク。
**注記**
場合によっては、信頼できるビジネスパートナーによるアクセスも含めるために、データ境界の拡張が必要になることがあります。会社および AWS のサービス の使用に固有の信頼できる ID、信頼できるリソース、想定されるネットワークの定義を作成する際には、想定されるすべてのデータアクセスパターンを考慮する必要があります。
データ境界コントロールは、情報セキュリティおよびリスク管理プログラムにおける他のセキュリティコントロールと同様に扱う必要があります。つまり、脅威分析を行ってクラウド環境内の潜在的なリスクを特定し、独自のリスク許容基準に基づいて、適切なデータ境界コントロールを選択して実装する必要があります。データ境界を実装するための反復的なリスクベースのアプローチをより効果的に理解するには、データ境界コントロールによって対処されるセキュリティリスクおよび脅威ベクトルと、セキュリティの優先事項を理解する必要があります。
## データ境界コントロール
データ境界の粗粒度のコントロールでは、[ポリシータイプ](access_policies.md#access_policy-types)および[条件キー](reference_policies_condition-keys.md)のさまざまな組み合わせを実装することで、3 つのデータ境界で 6 つの異なるセキュリティ目標を達成できます。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access_policies_data-perimeters.html)
データ境界は、意図しないアクセスパターンを防ぐためにデータの周囲に強固な境界を作ることと考えることができます。データ境界は広範囲にわたる意図しないアクセスを防ぐことができますが、それでもきめ細かなアクセスコントロールに関する決定を行う必要があります。データ境界を設定しても、[最小特権](best-practices.md#grant-least-privilege)の実現に向けた取り組みの一環として [IAM Access Analyzer](what-is-access-analyzer.md) などのツールを使用してアクセス許可を継続的に微調整する必要性が軽減されることはありません。
現在 RCP によってサポートされていないリソースに対してデータ境界コントロールを強制適用するには、リソースに直接アタッチされているリソースベースのポリシーを使用できます。RCP とリソースベースのポリシーをサポートするサービスのリストについては、「[Resource control policies (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」および「[IAM と連携する AWS のサービス](reference_aws-services-that-work-with-iam.md)」を参照してください。
ネットワーク境界コントロールを適用するために、アクセスを制限する対象のすべてのサービスが現在サポートされている場合に限り、`aws:VpceOrgID`、`aws:VpceOrgPaths`、および `aws:VpceAccount` を使用することをお勧めします。サポートされていないサービスでこれらの条件キーを使用すると、意図しない認可結果につながる可能性があります。キーをサポートするサービスのリストについては、「[AWS グローバル条件コンテキストキー](reference_policies_condition-keys.md)」を参照してください。より広い範囲のサービスにコントロールを適用する必要がある場合は、代わりに `aws:SourceVpc` と `aws:SourceVpce` を使用することを検討してください。
## ID 境界
ID 境界は、信頼できる ID だけがリソースにアクセスでき、信頼できる ID だけがネットワークから許可されるようにするための、粗粒度の予防的アクセスコントロールのセットです。信頼できる ID には、通常は AWS アカウントのプリンシパル (ロールまたはユーザー)、およびユーザーに代わって動作する AWS サービスが含まれます。それ以外のすべての ID は信頼できないと見なされ、明示的な例外が付与されない限り ID 境界によって阻止されます。
以下のグローバル条件キーは、信頼できる ID の定義に基づいて ID 境界コントロールを適用するのに役立ちます。これらのキーをリソースコントロールポリシーで使用してリソースへのアクセスを制限したり、[VPC エンドポイントポリシー](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html)でネットワークへのアクセスを制限したりします。
### ユーザーが所有する ID
以下の条件キーを使用して、AWS アカウント で作成および管理する IAM プリンシパルを定義できます。
+ [aws:PrincipalOrgID](reference_policies_condition-keys.md#condition-keys-principalorgid) — この条件キーを使用して、リクエストを行う IAM プリンシパルが AWS Organizations の指定された組織に属していることを確認できます。
+ [aws:PrincipalOrgPaths](reference_policies_condition-keys.md#condition-keys-principalorgpaths) – この条件キーを使用し、リクエストを行う IAM ユーザー、IAM ロール、AWS STS フェデレーションユーザーのプリンシパル、SAML フェデレーティッドプリンシパル、OICD フェデレーティッドプリンシパル、AWS アカウントのルートユーザー が指定されたの AWS Organizations 組織単位 (OU) に属していることを確認できます。
+ [aws:PrincipalAccount](reference_policies_condition-keys.md#condition-keys-principalaccount) — この条件キーを使用して、ポリシーで指定したプリンシパルアカウントだけがリソースにアクセスできることを確認できます。
### ユーザーに代わって動作する AWS サービスの ID
以下の条件キーを使用して、AWS サービスがユーザーに代わって動作する場合に独自の ID を使用してリソースにアクセスすることを許可できます。
+ [aws:PrincipalIsAWSService](reference_policies_condition-keys.md#condition-keys-principalisawsservice) および [aws:SourceOrgID](reference_policies_condition-keys.md#condition-keys-sourceorgid) (または [aws:SourceOrgPaths](reference_policies_condition-keys.md#condition-keys-sourceorgpaths) および [aws:SourceAccount](reference_policies_condition-keys.md#condition-keys-sourceaccount)) – これらの条件キーを使用すると、[AWS のサービス プリンシパル](reference_policies_elements_principal.md#principal-services)がリソースにアクセスするときに、指定された組織、組織単位、または AWS Organizations のアカウントのリソースに代わってのみアクセスすることを確認できます。
詳細については、「[Establishing a data perimeter on AWS: Allow only trusted identities to access company data](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-identities-to-access-company-data/)」を参照してください。
## リソース境界
リソース境界は、ID が信頼できるリソースにのみアクセスし、信頼できるリソースにのみネットワークからアクセスできるようにするための、粗粒度の予防的アクセスコントロールのセットです。信頼できるリソースには、通常は AWS アカウントまたはユーザーに代わって動作する AWS サービスが所有するリソースが含まれます。
以下のグローバル条件キーは、信頼できるリソースの定義に基づいてリソース境界コントロールを適用するのに役立ちます。[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)でこれらのキーを使用して、ID がアクセスできるリソースを制限したり、[VPC エンドポイントポリシー](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)でネットワークからアクセスできるリソースを制限したりします。
### 所有するリソース
以下の条件キーを使用して、AWS アカウント で作成および管理する AWS リソースを定義できます。
+ [aws:ResourceOrgID](reference_policies_condition-keys.md#condition-keys-resourceorgid) — この条件キーを使用して、アクセスされているリソースが、AWS Organizations で指定された組織に属していることを確認できます。
+ [aws:ResourceOrgPaths](reference_policies_condition-keys.md#condition-keys-resourceorgpaths) — この条件キーを使用して、アクセスされているリソースが、AWS Organizations で指定された組織単位 (OU) に属していることを確認できます。
+ [aws:ResourceAccount](reference_policies_condition-keys.md#condition-keys-resourceaccount) – この条件キーを使用して、アクセスされているリソースが、指定された AWS アカウント に属していることを確認できます。
### ユーザーに代わって動作する AWS サービスのリソース
場合によっては、AWS 所有リソース (組織に属さず、プリンシパルまたはユーザーに代わって動作する AWS サービスがアクセスするリソース) へのアクセスの許可が必要になることがあります。これらのシナリオの詳細については、「[Establishing a data perimeter on AWS: Allow only trusted resources from my organization](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-resources-from-my-organization/)」を参照してください。
## ネットワーク境界
ネットワーク境界とは、ID が想定されるネットワークからのリソースにのみアクセスし、リソースには想定されるネットワークからのみアクセスできるようにするための、粗粒度の予防的アクセスコントロールのセットです。想定されるネットワークには、通常はオンプレミスデータセンター、仮想プライベートクラウド (VPC)、およびユーザーに代わって動作する AWS サービスのネットワークが含まれます。
以下のグローバル条件キーは、想定されるネットワークの定義に基づいてネットワーク境界コントロールを適用するのに役立ちます。これらのキーを[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)で使用して ID の通信元となるネットワークを制限したり、[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) でリソースアクセスを想定されるネットワークに制限したりします。
### ユーザーが所有するネットワーク
次の条件キーを使用して、従業員やアプリケーションがリソースへのアクセスに使用する 企業 IP CIDR 範囲や VPC などのネットワークを定義できます。
+ [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip) — この条件キーを使用して、リクエスト元の IP アドレスが指定の IP 範囲内にあることを確認できます。
+ [aws:SourceVpc](reference_policies_condition-keys.md#condition-keys-sourcevpc) — この条件キーを使用して、リクエストが通過する VPC エンドポイントが指定の VPC に属していることを確認できます。
+ [aws:SourceVpce](reference_policies_condition-keys.md#condition-keys-sourcevpce) — この条件キーを使用して、リクエストが指定された VPC エンドポイントを通過することを確認できます。
+ [aws:VpceAccount](reference_policies_condition-keys.md#condition-keys-vpceaccount) – この条件キーを使用して、リクエストが、指定された AWS アカウントが所有する VPC エンドポイントを通過することを確認できます。
+ [aws:VpceOrgPaths](reference_policies_condition-keys.md#condition-keys-vpceorgpaths) – この条件キーを使用して、リクエストが、AWS Organizations の指定された組織単位 (OU) に属する VPC エンドポイントを通過することを確認できます。
+ [aws:VpceOrgID](reference_policies_condition-keys.md#condition-keys-vpceorgid) – この条件キーを使用して、リクエストが、AWS Organizations の指定された組織のアカウントが所有する VPC エンドポイントを通過することを確認できます。
`aws:VpceAccount`、`aws:VpceOrgPaths`、および `aws:VpceOrgID` は、新しいエンドポイントを作成するときにポリシーを更新することなく、VPC エンドポイントの使用状況に合わせて自動的にスケールするネットワーク境界コントロールを実装する場合に特に役立ちます。これらのキーをサポートする AWS のサービス のリストについては、「[AWS グローバル条件コンテキストキー](reference_policies_condition-keys.md)」を参照してください。
### ユーザーに代わって動作する AWS サービスのネットワーク
以下の条件キーを使用して、AWS サービスがユーザーに代わって動作する場合にネットワークからリソースにアクセスすることを許可できます。
+ [aws:ViaAWSService](reference_policies_condition-keys.md#condition-keys-viaawsservice) — この条件キーを使用すると、AWS のサービスが[転送アクセスセッション](access_forward_access_sessions.md) (FAS) を使用するプリンシパルに代わってリクエストを送信できることを確認できます。
+ [aws:PrincipalIsAWSService](reference_policies_condition-keys.md#condition-keys-principalisawsservice) — この条件キーを使用して、AWS のサービスが [AWS サービスプリンシパル](reference_policies_elements_principal.md#principal-services)を使用してリソースにアクセスできることを確認できます。
ネットワークの外部からリソースにアクセスする AWS のサービスへのアクセスを許可する必要があるシナリオは他にもあります。詳細については、「[Establishing a data perimeter on AWS: Allow access to company data only from expected networks](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-access-to-company-data-only-from-expected-networks/)」を参照してください。
## データ境界について詳しく学ぶためのリソース
次のリソースは、AWS 全体のデータ境界について詳しく学ぶのに役立ちます。
+ [Data perimeters on AWS](https://aws.amazon.com/identity/data-perimeters-on-aws/) — データ境界およびその利点と使用例について説明します。
+ [Blog Post Series: Establishing a Data Perimeter on AWS](https://aws.amazon.com/identity/data-perimeters-blog-post-series/) — これらのブログ記事では、セキュリティや実装に関する重要な考慮事項など、データ境界を大規模に確立するための規範的なガイダンスを取り上げています。
+ [Data perimeter policy examples](https://github.com/aws-samples/data-perimeter-policy-examples/tree/ce06665ca8b2f07debee7bed5153c3be0f31c73c) — この GitHub リポジトリには、AWS でデータ境界を実装するのに役立つ、いくつかの一般的なパターンをカバーするポリシー例が含まれています。
+ [Data perimeter helper](https://github.com/aws-samples/data-perimeter-helper/tree/main?tab=readme-ov-file) — このツールは、[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) ログ内のアクセスアクティビティを分析することで、データ境界コントロールの設計と影響の予測に役立ちます。