翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
RCP の構文
リソースコントロールポリシー (RCPs) は、リソースベースのポリシーで使用される構文と同様の構文を使用します。IAM ポリシーとその構文の詳細については、「 IAMユーザーガイド」のIAM「ポリシーの概要」を参照してください。
RCP は、 のルールに従って構造化されますJSON
注記
のすべての文字は、最大サイズに対してRCPカウントされます。このガイドの例では、読みやすさを向上させるために、余分な空白でRCPsフォーマットされた を示しています。ただし、ポリシーサイズが上限サイズに近づいている場合は、スペースを節約するために、引用符の外側にあるすべての空白文字 (スペースや改行など) を削除できます。
RCPs の一般情報については、「リソースコントロールポリシー (RCPs)」を参照してください。
要素の概要
次の表は、 で使用できるポリシー要素をまとめたものですRCPs。サポートされる効果列には、 の各ポリシー要素で使用できる効果タイプが一覧表示されますRCPs。
注記
の効果Allowは、 RCPFullAWSAccessポリシーでのみサポートされます。
の効果Allowは、 RCPFullAWSAccessポリシーでのみサポートされます。このポリシーは、リソースコントロールポリシー () を有効にすると、組織ルート、すべての OU、および組織内のすべてのアカウントに自動的にアタッチされますRCPs。このポリシーをデタッチすることはできません。このデフォルトRCPにより、すべてのプリンシパルとアクションのアクセスがRCP評価を通過できるようになります。つまり、 の作成とアタッチを開始するまでRCPs、既存のアクセスIAM許可はすべて引き続き動作します。これにより、アクセスは許可されません。
| 要素 | 目的 |
|---|---|
| Version | ポリシーの処理に使用する言語構文ルールを指定します。 |
| Statement | ポリシー要素のコンテナとして機能します。には複数のステートメントを含めることができますRCPs。 |
| Statement ID (Sid) | (オプション) ステートメントにわかりやすい名前を付けます。 |
| [Effect] (効果) | RCP ステートメントがアカウントのリソースへのアクセスを拒否するかどうかを定義します。 |
| プリンシパル | アカウントのリソースへのアクセスを許可または拒否するプリンシパルを指定します。 |
|
がRCP許可または拒否する AWS サービスとアクションを指定します。 |
|
| リソース | RCP が適用される AWS リソースを指定します。 |
| NotResource |
から除外される AWS リソースを指定しますRCP。 |
| 条件 | ステートメントを実行するタイミングの条件を指定します。 |
トピック
Version 要素
すべての には、値 を持つ Version要素が含まれているRCP必要があります"2012-10-17"。これは、アクセスIAM許可ポリシーの最新バージョンと同じバージョン値です。
"Version": "2012-10-17",
詳細については、「 IAMユーザーガイド」のIAMJSON「ポリシーエレメント: バージョン」を参照してください。
Statement 要素
RCP は 1 つ以上のStatement要素で構成されます。ポリシーにはStatementキーワードを 1 つだけ含めることができますが、値はステートメントのJSON配列 ([ ] 文字で囲む) にすることができます。
次の例は、単一の 、Effect、Principal、Actionおよび Resource要素で構成される単一のステートメントを示しています。
{ "Statement": { "Effect": "Deny", "Principal": "*", "Action": "*", "Resource": "*" } }
詳細については、「 IAMユーザーガイド」のIAMJSON「ポリシー要素: ステートメント」を参照してください。
ステートメント ID (Sid) 要素
Sid は、ポリシーステートメントに提供するオプションの識別子です。Sid 値は、ステートメント配列内の各ステートメントに割り当てることができます。次の例は、 Sidステートメントの例RCPを示しています。
{ "Statement": { "Sid": "DenyAllActions", "Effect": "Deny", "Principal": "*", "Action": "*", "Resource": "*" } }
詳細については、「 IAMユーザーガイド」のIAMJSON「ポリシー要素: Sid」を参照してください。
Effect 要素
各ステートメントには必ず Effect を 1 つ含める必要があります。Effect 要素Denyで の値を使用すると、特定のリソースへのアクセスを制限したり、 が有効RCPsになる条件を定義したりできます。RCPs 作成する の場合、値は である必要がありますDeny。詳細については、「 IAMユーザーガイド」のRCP 評価「」およびIAMJSON「ポリシーエレメント: 効果」を参照してください。
Principal 要素
各ステートメントには Principal要素が含まれている必要があります。の Principal要素でのみ*「」を指定できますRCP。Conditions 要素を使用して、特定のプリンシパルを制限します。
詳細については、「 IAMユーザーガイド」のIAMJSON「ポリシー要素: プリンシパル」を参照してください。
Action 要素
各ステートメントには Action要素が含まれている必要があります。
Action 要素の値は、ステートメントによって許可または拒否される AWS サービスとアクションを識別する文字列の文字列またはリスト (JSON配列) です。
各文字列は、すべての小文字のサービスの略語 (「s3」、「sqs」、「sts」など) で構成され、その後にコロンが続き、そのサービスからのアクションが続きます。通常、すべて大文字と小文字で始まる各単語で入力されます。例: "s3:ListAllMyBuckets"。
では、アスタリスク (*) や疑問符 (?) などのワイルドカード文字を使用することもできますRCP。
-
名前の一部を共有する複数のアクションを検索するには、アスタリスクをワイルドカードとして使用します。値
"s3:*"は、Amazon S3 サービス内のすべてのアクションを意味します。値は、「Get」で始まる AWS STS アクションのみ"sts:Get*"に一致します。 -
単一の文字を検索する場合は疑問符 (?) を使用します。
注記
ワイルドカード (*) と疑問符 (?) は、アクション名の任意の場所で使用できます。
とは異なりSCPs、アクション名の任意の場所でアスタリスク (*) や疑問符 (?) などのワイルドカード文字を使用できます。
をサポートするサービスのリストについてはRCPs、「」を参照してくださいAWS のサービス をサポートする のリスト RCPs。が AWS のサービス サポートするアクションのリストについては、「サービス認可リファレンス」のAWS 「 サービスのアクション、リソース、および条件キー」を参照してください。
詳細については、「 IAMユーザーガイド」のIAMJSON「ポリシー要素: アクション」を参照してください。
Resource および NotResource 要素
各ステートメントには、 Resourceまたは NotResource要素が含まれている必要があります。
リソース要素では、アスタリスク (*) や疑問符 (?) などのワイルドカード文字を使用できます。
-
名前の一部を共有する複数のアクションを検索するには、アスタリスクをワイルドカードとして使用します。
-
単一の文字を検索する場合は疑問符 (?) を使用します。
詳細については、「 IAMユーザーガイド」のIAMJSON「ポリシーエレメント: リソース」およびIAMJSON「ポリシーエレメント: NotResource」を参照してください。
Condition 要素
の拒否ステートメントでCondition要素を指定できますRCP。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "*", "Condition:": { "BoolIfExists": { "aws:SecureTransport": "false" } } } ] }
これによりRCP、リクエストが安全なトランスポート経由で発生していない限り (リクエストが 経由で送信された)、Amazon S3 オペレーションとリソースへのアクセスが拒否されますTLS。
詳細については、「 IAMユーザーガイド」のIAMJSON「ポリシー要素: 条件」を参照してください。
サポートされていない要素
では、以下の要素はサポートされていませんRCPs。
-
NotPrincipal NotAction
