翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
リソースへのアクセスの管理
アクセス権限ポリシー では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。
注記
このセクションでは、AWSControl Tower のコンテキストIAMでの の使用について説明します。IAM サービスに関する詳細情報は提供されません。詳細なIAMドキュメントについては、「 ユーザーガイド」のIAM「 とはIAM」を参照してください。IAM ポリシーの構文と説明については、「」を参照してください。 AWS IAM 「 ユーザーガイド」の「ポリシーリファレンス」。 IAM
IAM ID にアタッチされたポリシーは、アイデンティティベースのポリシー ( ポリシー) と呼ばれます。IAMリソースに添付されたポリシーは、リソースベースのポリシーと呼ばれます。
注記
AWS Control Tower は、アイデンティティベースのポリシー (IAM ポリシー) のみをサポートします。
アイデンティティベースのポリシーについて (IAM ポリシー)
IAM ID にポリシーをアタッチできます。例えば、次のオペレーションを実行できます。
-
アカウントのユーザーまたはグループに許可ポリシーをアタッチする – ランディングゾーンの設定など、AWSControl Tower リソースを作成する許可をユーザーに付与するには、ユーザーが属するユーザーまたはグループに許可ポリシーをアタッチできます。
-
アクセス許可ポリシーをロールにアタッチする (クロスアカウントアクセス許可を付与する) – アイデンティティベースのアクセス許可ポリシーを IAMロールにアタッチして、クロスアカウントアクセス許可を付与できます。例えば、1 人の の管理者 AWS アカウント (アカウント A) は、別の にクロスアカウントアクセス許可を付与するロールを作成できます。 AWS アカウント (アカウント B )、または管理者が別の にアクセス許可を付与するロールを作成できる AWS サービス。
-
アカウント A の管理者は、 IAMロールを作成し、アカウント A のリソースを管理するアクセス許可を付与するアクセス許可ポリシーをロールにアタッチします。
-
アカウント A の管理者は、ロールに信頼ポリシーをアタッチします。ポリシーは、ロールを引き受けることのできるプリンシパルとしてアカウント B を識別します。
-
プリンシパルとして、アカウント B の管理者は、アカウント B のすべてのユーザーにそのロールを引き受ける権限を与えることができます。このロールを引き受けることで、アカウント B のユーザーはアカウント A のリソースを作成したり、アクセスしたりできます。
を付与するには AWS はロールを引き受ける機能 (アクセス許可) を提供します。信頼ポリシーで指定するプリンシパルは です。 AWS サービス。
-
リソースベースのポリシー
Simple Storage Service (Amazon S3) などの他のサービスでは、リソースベースの許可ポリシーもサポートされています。例えば、ポリシーを S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。AWS Control Tower はリソースベースのポリシーをサポートしていません。
