AWS Control Tower リソースに対するアクセス許可の管理の概要 - AWS Control Tower
AWS Control Tower のリソースとオペレーションリソース所有権についてポリシー要素を指定: アクション、効果、プリンシパルポリシーでの条件の指定

AWS Control Tower リソースに対するアクセス許可の管理の概要

すべての AWS リソースは AWS アカウント によって所有され、リソースを作成する、またはアクセスを取得する許可は、アクセス許可のポリシーによって管理されます。アカウント管理者は、IAM アイデンティティ (つまり、ユーザー、グループ、ロール) に権限ポリシーをアタッチできます。一部のサービス (AWS Lambda など) は、リソースへの許可ポリシーのアタッチもサポートします。

注記

アカウント管理者 (または管理者) は、管理者権限を持つユーザーです。詳細については、「IAM ユーザーガイド」の「IAM のベストプラクティス」を参照してください。

ユーザーまたはロールに権限を付与する責任を負う場合は、権限を必要とするユーザーとロール、各ユーザーとロールが権限を必要とするリソース、およびそれらのリソースを操作するために許可する必要のある特定のアクションを把握して追跡する必要があります。

トピック

AWS Control Tower のリソースとオペレーション

AWS Control Tower では、プライマリリソースはランディングゾーンです。AWS Control Tower では、追加のリソースタイプ、コントロール (ガードレールと呼ばれることもあります) もサポートされています。ただし、AWS Control Tower では、既存のランディングゾーンのコンテキストでのみコントロールを管理できます。コントロールはサブリソースと呼ぶことができます。

AWS のリソースとサブリソースには、次の表に示すとおり、一意の Amazon リソースネーム (ARN) が関連付けられています。

リソースタイプ ARN 形式
ファイルシステム arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

AWS Control Tower には、AWS Control Tower リソースと連携するための一連の API オペレーションが用意されています。利用可能なオペレーションのリストについては、「AWS Control Tower API リファレンス」の「AWS Control Tower」を参照してください。

AWS Control Tower の AWS CloudFormation リソースの詳細については、「AWS CloudFormation ユーザーガイド」を参照してください。

リソース所有権について

AWS アカウントは、誰がリソースを作成したかにかかわらず、アカウントで作成されたリソースを所有します。具体的には、リソース所有者は、リソースの作成リクエストを認証するプリンシパルエンティティ (AWS アカウント ルートユーザー、IAM Identity Center ユーザー、IAM ユーザー、または IAM ロール) の AWS アカウントです。次の例は、この仕組みを示しています。

  • AWS アカウントの AWS アカウントルートユーザー認証情報を使用してランディングゾーンを設定した場合、AWS アカウントがリソースの所有者です。

  • AWS アカウントに IAM ユーザーを作成し、そのユーザーにランディングゾーンを設定するアクセス許可を付与した場合、そのユーザーはアカウントが前提条件を満たしている限り、ランディングゾーンを設定できます。ただし、ユーザーが属する AWS アカウントは、ランディングゾーンリソースを所有します。

  • ランディングゾーンを設定するためのアクセス許可を持つ AWS アカウントに IAM ロールを作成した場合、ロールを引き受けることのできるいずれのユーザーもランディングゾーンを設定できます。ロールが属する AWS アカウントは、ランディングゾーンリソースを所有します。

ポリシー要素を指定: アクション、効果、プリンシパル

AWS Control Tower コンソール、またはランディングゾーン API を使用して、ランディングゾーンを設定および管理できます。ランディングゾーンを設定するには、IAM ポリシーで定義された管理者権限を持つ IAM ユーザーである必要があります。

ポリシーで識別できる最も基本的な要素は次の通りです。

  • リソース– ポリシーで Amazon リソースネーム (ARN) を使用して、ポリシーを適用するリソースを識別します。詳細については、「AWS Control Tower のリソースとオペレーション」を参照してください。

  • アクション - アクションのキーワードを使用して、許可または拒否するリソースオペレーションを識別します。実行可能なアクションのタイプについては、「AWS Control Tower で定義されたアクション」を参照してください。

  • 効果 – ユーザーが特定のアクションを要求する際の効果を指定します。許可または拒否のいずれかになります。リソースへのアクセスを明示的に付与 (許可) していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。

  • Principal – ID ベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、権限 (リソースベースのポリシーにのみ適用) を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。AWS Control Tower では、リソースベースのポリシーはサポートされていません。

IAM ポリシーの構文と記述の詳細については、「IAM ユーザーガイド」の「AWS IAM ポリシーリファレンス」を参照してください。

ポリシーでの条件の指定

許可を付与するとき、IAM ポリシー言語を使用して、ポリシーが有効になる必要がある条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「IAM ユーザーガイド」の「条件」を参照してください。

条件を表すには、あらかじめ定義された条件キーを使用します。AWS Control Tower に固有の条件キーはありません。ただし、必要に応じて使用できる AWS 全体の条件キーがあります。AWS 全体のキーの完全なリストについては、IAM ユーザーガイド条件に利用できるキーを参照してください。