View a markdown version of this page

信頼できるリソース - AWS マネジメントコンソール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

信頼できるリソース

AWS マネジメントコンソールプライベートアクセスを使用すると、 を介してユーザーがアクセスするリソースAWS マネジメントコンソールをAWS、組織に属するリソースに制限できます。これらのポリシーは、「」で説明されているプリンシパルベースの制限の上にレイヤーされます信頼できる ID。これにより、許可されたプリンシパルがサインイン後に到達できるリソースがさらに制限されます。

  • AWS マネジメントコンソールVPC エンドポイントポリシーaws:ResourceOrgIDまたは aws:ResourceAccount条件キーを使用します。 は、特定のAWS組織内のリソースへのアクセスaws:ResourceOrgIDを制限します。 は、特定の 内のリソースへのアクセスaws:ResourceAccountを制限しますAWS アカウント。

注記

以下の例は、説明のみのためのリファレンスポリシーです。本番環境では、リソース境界 SCP など、aws-samples/data-perimeter-policy-examples リポジトリの包括的なデータ境界ポリシーの例を使用します。 https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_control_policies/resource_perimeter_scp.json

例: 組織内のリソースのみへのアクセスを許可する

この AWS マネジメントコンソールVPC エンドポイントポリシーはaws:ResourceOrgID、 を使用して、指定されたAWS組織内のリソースへのアクセスのみを許可します。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceOrgID": "o-xxxxxxxxxxx" } } } ] }
例: 特定のアカウントのリソースのみへのアクセスを許可する

この AWS マネジメントコンソールVPC エンドポイントポリシーはaws:ResourceAccount、 を使用して、特定の のリスト内のリソースへのアクセスのみを許可しますAWS アカウント。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": [ "111122223333", "222233334444" ] } } } ] }