リソースコントロールポリシーの例 - AWS Organizations
一般的な例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

リソースコントロールポリシーの例

このトピックに表示されるリソースコントロールポリシー (RCPs) の例は、情報提供のみを目的としています。データ境界の例については、「」の「データ境界ポリシーの例」を参照してください GitHub。

これらの例を使用する前に

組織RCPsでこれらの例を使用する前に、次の操作を行います。

  • 独自の要件RCPsに合わせて を慎重に確認してカスタマイズします。

  • 使用する AWS サービスを使用して、 RCPs 環境で を徹底的にテストします。

このセクションのポリシー例は、 の実装と使用を示していますRCPs。これらの例は、公式な AWS 推奨事項やベストプラクティスとして解釈されることを意図したものではありません。お客様の環境のビジネス要件を解決するためのポリシーの適合性を慎重にテストするのはお客様の責任です。拒否ベースのリソースコントロールポリシーは、ポリシーに必要な例外を追加しない限り、 AWS サービスの使用を意図せずに制限またはブロックする可能性があります。

一般的な例

RCPFullAWSAccess

次のポリシーは AWS 管理ポリシーであり、リソースコントロールポリシー () を有効にすると、組織ルート、すべての OU、および組織内のすべてのアカウントに自動でアタッチされますRCPs。このポリシーをデタッチすることはできません。このデフォルトRCPにより、すべてのプリンシパルとアクションが リソースにアクセスできます。つまり、 の作成とアタッチを開始するまでRCPs、既存のアクセスIAM許可はすべて、そのまま動作し続けます。このポリシーの効果をテストする必要はありません。既存の認可動作をリソースに対して続行できるためです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

サービス間の混乱した代理保護

一部の AWS のサービス (サービスと呼ばれる) は、プリン AWS のサービス シパルを使用して他の AWS のサービス (サービスと呼ばれる) の AWS リソースにアクセスします。 AWS リソースへのアクセスを意図していないアクターが、プリン AWS のサービス シパルの信頼を使用して、アクセスを意図していないリソースとやり取りしようとすると、サービス間の混乱した代理問題と呼ばれます。詳細については、「 ユーザーガイド」の「混乱した代理問題」を参照してください。 IAM

次のポリシーでは、 リソースにアクセスする AWS のサービス プリンシパルが、組織からのリクエストに代わってのみアクセスすることを要求します。このポリシーは、 aws:SourceAccount が存在するリクエストにのみコントロールを適用し、 の使用を必要としないサービス統合aws:SourceAccountが影響を受けないようにします。aws:SourceAccount がリクエストコンテキストに存在する場合、Null条件は に評価されtrueaws:SourceOrgIDキーが強制されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RCPEnforceConfusedDeputyProtection",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:*",
                "sqs:*",
                "secretsmanager:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:SourceOrgID": "my-org-id"
                },
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                },
                "Null": {
                    "aws:SourceAccount": "false"
                }
            }
        }
    ]
}

リソースへの接続のみHTTPSにアクセスを制限する

次のポリシーでは、 HTTPS () 経由の暗号化された接続でのみ リソースへのアクセスが発生することを要求しますTLS。これにより、潜在的な攻撃者がネットワークトラフィックを操作するのを防ぐことができます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnforceSecureTransport",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "sts:*",
                "s3:*",
                "sqs:*",
                "secretsmanager:*",
                "kms:*"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

Amazon S3 バケットポリシーの一貫したコントロール

以下RCPには、組織内の Amazon S3 バケットに一貫したアクセスコントロールを適用するための複数のステートメントが含まれています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnforceS3TlsVersion",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "*",
            "Condition": {                
                "NumericLessThan": {
                    "s3:TlsVersion": [
                        "1.2"
                    ]
                }
            }
        },
        {
            "Sid": "EnforceKMSEncryption",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": "*",
            "Condition": {
                "Null": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "true"
                }
            }
        }
    ]
}

  • ステートメント ID EnforceS3TlsVersion – S3 バケットにアクセスするには、1.2 の最小TLSバージョンが必要です。

  • ステートメント ID EnforceKMSEncryption – オブジェクトは、 KMSキーでサーバー側で暗号化する必要があります。