翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
リソースコントロールポリシー (RCPs)
リソースコントロールポリシー (RCPs) は、組織内のアクセス許可を管理するために使用できる組織ポリシーの一種です。 RCPs は、組織内のリソースに対して使用可能な最大アクセス許可を一元的に制御します。 は、アカウント内のリソースが組織のアクセスコントロールガイドラインの範囲内に収まるようにRCPsするのに役立ちます。 RCPsは、すべての機能が有効になっている組織でのみ使用できます。 RCPs は、組織が一括請求機能のみを有効にしている場合は利用できません。RCPs を有効にする方法については、「ポリシータイプの有効化」を参照してください。
RCPs だけでは、組織内のリソースにアクセス許可を付与するには不十分です。によってアクセス許可が付与されることはありませんRCP。は、ID が組織内のリソースに対して実行できるアクションに対するアクセス許可ガードレールRCPを定義するか、制限を設定します。管理者は、実際にアクセス許可を付与するために、アイデンティティベースのポリシーをIAMユーザーまたはロールにアタッチするか、リソースベースのポリシーをアカウントのリソースにアタッチする必要があります。詳細については、「 IAMユーザーガイド」の「アイデンティティベースのポリシー」と「リソースベースのポリシー」を参照してください。
有効なアクセス許可は、 RCPsとサービスコントロールポリシー (SCPs) で許可されているものと、アイデンティティベースポリシーとリソースベースポリシーで許可されているものの論理的な共通部分です。
RCPs 管理アカウントのリソースには影響しない
RCPs は管理アカウントのリソースには影響しません。これらは、組織内のメンバーアカウントのリソースにのみ影響します。つまり、 は委任管理者として指定されているメンバーアカウントにもRCPs適用されます。
トピック
AWS のサービス をサポートする のリスト RCPs
RCPs は、以下のリソースに適用されます AWS のサービス。
の影響のテスト RCPs
AWS では、ポリシーがアカウントのリソースに与える影響を徹底的にテストせずに、組織のルートRCPsにアタッチしないことを強くお勧めします。まずRCPs、個々のテストアカウントにアタッチし、階層のOUs下位に移動してから、必要に応じて組織構造を進めます。影響を判断する 1 つの方法は、アクセス拒否エラーの AWS CloudTrail ログを確認することです。
の最大サイズ RCPs
のすべての文字は、最大サイズに対してRCPカウントされます。このガイドの例では、読みやすさを向上させるために、余分な空白でRCPsフォーマットされた を示しています。ただし、ポリシーサイズが上限サイズに近づいている場合は、スペースを節約するために、引用符の外側にあるすべての空白文字 (スペースや改行など) を削除できます。
ヒント
ビジュアルエディタを使用して を構築しますRCP。これによって、よけいな空白が自動的に削除されます。
組織内のさまざまなレベルRCPsへのアタッチ
個々のアカウント、、OUsまたは組織ルートRCPsに直接アタッチできます。RCPs の仕組みの詳細については、「」を参照してくださいRCP 評価。
RCP アクセス許可への影響
RCPs は AWS Identity and Access Management (IAM) ポリシーの一種です。これらはリソースベースのポリシーと最も密接に関連しています。ただし、 がアクセス許可を付与RCPすることはありません。代わりに、 RCPsは、組織内のリソースに対して使用可能なアクセス許可の最大数を指定するアクセスコントロールです。詳細については、IAM ユーザーガイドの「ポリシーの評価論理」を参照してください。
-
RCPs は、 のサブセットのリソースに適用されます AWS のサービス。詳細については、「AWS のサービス をサポートする のリスト RCPs」を参照してください。
-
RCPs は、 をアタッチした組織の一部であるアカウントによって管理されるリソースにのみ影響しますRCPs。組織外のアカウントのリソースには影響しません。例えば、組織内のアカウント A が所有する Amazon S3 バケットを考えてみましょう。バケットポリシー (リソースベースのポリシー) は、組織外のアカウント B のユーザーにアクセス権を付与します。アカウント A には がRCPアタッチされています。これは、アカウント B のユーザーがアクセスした場合でも、アカウント A の S3 バケットRCPに適用されます。ただし、アカウント A のユーザーがアクセスしたアカウント B のリソースRCPには適用されません。
-
は、メンバーアカウントのリソースのアクセス許可RCPを制限します。アカウントのリソースには、その上位のすべての親によって許可されているアクセス許可のみがあります。アクセス許可がアカウントより上のレベルでブロックされている場合、リソース所有者が任意のユーザーにフルアクセスを許可するリソースベースのポリシーをアタッチしても、影響を受けるアカウントのリソースにはそのアクセス許可がありません。
-
RCPs は、オペレーションリクエストの一部として承認されたリソースに適用されます。これらのリソースは、「サービス認可リファレンス」の「アクション」テーブルの「リソースタイプ」列にあります。「リソースタイプ」列にリソースが指定されていない場合、呼び出し元のプリンシパルアカウントの RCPs が適用されます。たとえば、 は オブジェクトリソース
s3:GetObjectを承認します。GetObjectリクエストが行われるたびに、該当する RCPが適用され、リクエスト元のプリンシパルがGetObjectオペレーションを呼び出すことができるかどうかを判断します。該当する RCP は、アカウント、組織単位 (OU)、またはアクセスされるリソースを所有する組織のルートにアタッチRCPされた です。 -
RCPs は、組織内のメンバーアカウントのリソースにのみ影響します。管理アカウントのリソースには影響しません。つまり、 は委任管理者として指定されたメンバーアカウントにもRCPs適用されます。詳細については、「管理アカウントのベストプラクティス」を参照してください。
-
プリンシパルがアタッチされたアカウント RCP (該当する を持つリソースRCP) 内のリソースへのアクセスをリクエストすると、 RCPがポリシー評価ロジックに含まれ、プリンシパルがアクセスを許可または拒否されたかどうかを判断します。
-
RCPs は、プリンシパルが同じ組織に属しているかどうかにかかわらずRCP、該当する を持つメンバーアカウントのリソースにアクセスしようとするプリンシパルの有効なアクセス許可に影響します。これにはルートユーザーが含まれます。ただし、プリンシパルがサービスにリンクされたロールである場合は例外です。 RCPsはサービスにリンクされたロールによって行われた呼び出しには適用されないためです。サービスにリンクされたロールにより AWS のサービス 、 はユーザーに代わって必要なアクションを実行でき、 によって制限することはできませんRCPs。
-
ユーザーとロールには、アイデンティティベースおよびリソースベースのポリシーを含む適切なアクセス許可ポリシーを持つIAMアクセス許可が付与されている必要があります。アクセスIAM許可ポリシーのないユーザーまたはロールは、該当する がすべての サービス、すべてのアクション、およびすべてのリソースRCPを許可している場合でも、アクセスできません。
によって制限されていないリソースとエンティティ RCPs
RCPs を使用して以下を制限することはできません。
-
管理アカウントのリソースに対する任意のアクション。
-
RCPs は、サービスにリンクされたロールの有効なアクセス許可には影響しません。サービスにリンクされたロールは、 AWS サービスに直接リンクされた一意のタイプのIAMロールであり、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれます。サービスにリンクされたロールのアクセス許可は、 によって制限することはできませんRCPs。 は AWS 、サービスにリンクされたロールを引き受けるサービスの機能RCPsにも影響しません。つまり、サービスにリンクされたロールの信頼ポリシーも の影響を受けませんRCPs。
-
RCPs は AWS マネージドキー for AWS Key Management Serviceには適用されません。 AWS マネージドキー は、ユーザーに代わって によって作成、管理、使用されます AWS のサービス。アクセス許可を変更または管理することはできません。
RCPs は、次のアクセス許可には影響しません。
サービス API によって承認されていないリソース RCPs AWS Key Management Service kms:RetireGrantRCPs アクセス kms:RetireGrant許可には影響しません。へのアクセス許可kms:RetireGrantの決定方法の詳細については、「 デベロッパーガイド」の「許可の廃止と取り消し」を参照してください。 AWS KMS
