翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# リソースへのアクセスの管理
*アクセス権限ポリシー* では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。
**注記**
このセクションでは、AWS Control Tower のコンテキストでの IAM の使用について説明します。IAM サービスに関する詳しい説明はしません。完全な IAM ドキュメンテーションについては、「*IAM ユーザーガイド*」の「[IAM とは](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)」を参照してください。IAM ポリシー構文の詳細と説明については、「*IAM ユーザーガイド*」の「[AWS IAM ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。
IAM アイデンティティにアタッチされているポリシーは、アイデンティティベースのポリシー (IAM ポリシー) と呼ばれます。**リソースにアタッチされたポリシーは、リソースベースのポリシーと呼ばれます。**
**注記**
AWS Control Tower では、アイデンティティベースのポリシー (IAM ポリシー) のみサポートされます。
**Topics**
+ [アイデンティティベースのポリシー (IAM ポリシー) について](#access-control-manage-access-intro-iam-policies)
+ [ロールを作成して、アクセス許可を割り当てる](assign-permissions.md)
+ [リソースベースのポリシー](#access-control-manage-access-intro-resource-policies)
## アイデンティティベースのポリシー (IAM ポリシー) について
ポリシーを IAM アイデンティティにアタッチできます。例えば、次の操作を実行できます。
+ **アカウントのユーザーまたはグループに許可ポリシーをアタッチする** – ランディングゾーンのセットアップなどの AWS Control Tower リソースを作成するユーザー許可を付与するために、ユーザーまたはユーザーが所属するグループに許可ポリシーをアタッチできます。
+ **許可ポリシーをロールにアタッチする (クロスアカウントの許可を付与)** – アイデンティティベースのアクセス許可ポリシーを IAM ロールにアタッチして、クロスアカウントの許可を付与することができます。たとえば、ある AWS アカウントの管理者 (*アカウント A*) は、別のアカウント ( AWS アカウント *B*) にクロスアカウントアクセス許可を付与するロールを作成したり、別の AWS サービスにアクセス許可を付与するロールを作成したりできます。
1. アカウント A の管理者は IAM ロールを作成し、そのロールに、アカウント A のリソースを管理する許可を付与する権限ポリシーをアタッチします。
1. アカウント A の管理者は、ロールに信頼ポリシーをアタッチします。ポリシーは、ロールを引き受けることのできるプリンシパルとしてアカウント B を識別します。
1. プリンシパルとして、アカウント B の管理者は、アカウント B のすべてのユーザーにそのロールを引き受ける権限を与えることができます。このロールを引き受けることで、アカウント B のユーザーはアカウント A のリソースを作成したり、アクセスしたりできます。
1. AWS サービスにロールを引き受ける機能 (アクセス許可) を付与するには、信頼ポリシーで指定するプリンシパルを AWS サービスにすることができます。
## リソースベースのポリシー
Simple Storage Service (Amazon S3) などの他のサービスでは、リソースベースの許可ポリシーもサポートされています。例えば、ポリシーを S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。AWS Control Tower では、リソースベースのポリシーはサポートされていません。