AWS Control Tower リソースへのアクセス許可の管理の概要 - AWS Control Tower
AWS Control Tower のリソースとオペレーションリソース所有権についてポリシー要素を指定: アクション、効果、プリンシパルポリシーでの条件の指定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower リソースへのアクセス許可の管理の概要

毎 AWS リソースは によって所有されています AWS アカウント、、およびリソースを作成またはアクセスするためのアクセス許可は、アクセス許可ポリシーによって管理されます。アカウント管理者は、アクセス許可ポリシーを ID (ユーザー、グループ、ロール) IAM にアタッチできます。一部の サービス ( AWS Lambda) は、 リソースへのアクセス許可ポリシーのアタッチもサポートしています。

注記

アカウント管理者 (または管理者) は、管理者権限を持つユーザーです。詳細については、「 ユーザーガイド」のIAM「ベストプラクティスIAM」を参照してください。

ユーザーまたはロールに権限を付与する責任を負う場合は、権限を必要とするユーザーとロール、各ユーザーとロールが権限を必要とするリソース、およびそれらのリソースを操作するために許可する必要のある特定のアクションを把握して追跡する必要があります。

トピック

AWS Control Tower のリソースとオペレーション

AWS Control Tower では、プライマリリソースはランディングゾーン です。AWS Control Tower は、追加のリソースタイプであるコントロール もサポートしています。これはガードレール とも呼ばれます。ただし、AWSControl Tower では、既存のランディングゾーンのコンテキストでのみコントロールを管理できます。コントロールはサブリソースと呼ぶことができます。

のリソースとサブリソース AWS 次の例に示すように、 には一意の Amazon リソースネーム (ARNs) が関連付けられています。

リソースタイプ ARN 形式
ファイルシステム arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

AWS Control Tower は、Control Tower AWS リソースを操作するための一連のAPIオペレーションを提供します。使用可能なオペレーションのリストについては、AWS「Control Tower リファレンス」のAWS「Control TowerAPI」を参照してください。

の詳細については、 AWS CloudFormation AWS Control Tower の リソースについては、「」を参照してください。 AWS CloudFormation ユーザーガイド

リソース所有権について

- AWS アカウントは、リソースを作成したユーザーに関係なく、アカウントで作成されたリソースを所有します。具体的には、リソース所有者は です。 AWS プリンシパルエンティティの アカウント (つまり、 AWS アカウント リソース作成リクエストを認証するルートユーザー、IAMIdentity Center ユーザー、 IAM ユーザー、または IAMロール)。次の例は、この仕組みを示しています。

  • を使用する場合 AWS の アカウントのルートユーザー認証情報 AWS ランディングゾーンをセットアップする アカウント、 AWS アカウントはリソースの所有者です。

  • で IAM ユーザーを作成する場合 AWS アカウント と は、ランディングゾーンをセットアップするアクセス許可をそのユーザーに付与します。ユーザーは、アカウントが前提条件を満たしている限り、ランディングゾーンを設定できます。ただし、 AWS ユーザーが属する アカウントは、ランディングゾーンリソースを所有します。

  • で IAMロールを作成する場合 AWS ランディングゾーンをセットアップする権限を持つ アカウント。ロールを引き受けることのできるすべてのユーザーがランディングゾーンを設定できます。の AWS ロールが属する アカウントは、ランディングゾーンリソースを所有します。

ポリシー要素を指定: アクション、効果、プリンシパル

AWS Control Tower コンソールまたはランディングゾーン を使用して、ランディングゾーンを設定APIsおよび管理できます。ランディングゾーンを設定するには、IAMポリシーで定義されている管理権限を持つ IAM ユーザーである必要があります。

ポリシーで識別できる最も基本的な要素は次の通りです。

  • リソース – ポリシーでは、Amazon リソースネーム (ARN) を使用して、ポリシーが適用されるリソースを識別します。詳細については、「AWS Control Tower のリソースとオペレーション」を参照してください。

  • アクション – アクションキーワードを使用して、許可または拒否するリソース操作を特定します。実行できるアクションのタイプについては、AWS「Control Tower で定義されるアクション」を参照してください。

  • 効果 – ユーザーが特定のアクションを要求する際の効果を指定します。許可または拒否のいずれかになります。リソースへのアクセスを明示的に付与 (許可) していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。

  • プリンシパル – アイデンティティベースのポリシー (IAM ポリシー) では、ポリシーがアタッチされているユーザーが暗黙的なプリンシパルです。リソースベースのポリシーでは、権限 (リソースベースのポリシーにのみ適用)を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。AWS Control Tower はリソースベースのポリシーをサポートしていません。

IAM ポリシーの構文と説明の詳細については、「」を参照してください。 AWS IAM 「 ユーザーガイド」の「ポリシーリファレンス」。 IAM

ポリシーでの条件の指定

アクセス許可を付与するときは、IAMポリシー言語を使用して、ポリシーを有効にする条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「 IAMユーザーガイド」の「条件」を参照してください。

条件を表すには、あらかじめ定義された条件キーを使用します。AWS Control Tower に固有の条件キーはありません。ただし、 AWS必要に応じて使用できる 全体の条件キー。の完全なリストについては AWS全体のキーについては、IAM「 ユーザーガイド」の「条件に使用可能なキー」を参照してください。