翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Control Tower でアイデンティティベースのポリシー (IAM ポリシー) を使用する
このトピックでは、アカウント管理者がどのようにして IAM アイデンティティ (ユーザー、グループ、ロール) に許可ポリシーをアタッチし、それによって AWS Control Tower リソースでのオペレーションを実行する許可を付与する方法を示す、アイデンティティベースのポリシーの例を示します。
**重要**
初めに、AWS Control Tower リソースへのアクセスを管理するための基本概念と使用可能なオプションについて説明する概要トピックをお読みになることをお勧めします。詳細については、「[AWS Control Tower リソースに対するアクセス許可の管理の概要](access-control-overview.md)」を参照してください。
# AWS Control Tower コンソールを使用するために必要なアクセス許可
AWS Control Tower は、ランディングゾーンを設定するときに、3 つのロールを自動的に作成します。コンソールアクセスを許可するには、3 つのロールすべてが必要です。AWS Control Tower では、アクションおよびリソースの最小セットへのアクセスを制限するためのベストプラクティスとして、アクセス許可が 3 つのロールに分割されます。
**ランディングゾーンのアクセスに必要な 3 つのロール**
+ [AWS Control Tower 管理者ロール](access-control-managing-permissions.md#AWSControlTowerAdmin)
+ [AWS ControlTowerStackSetRole](access-control-managing-permissions.md#AWSControlTowerStackSetRole)
これらのロールのロール信頼ポリシーへのアクセスを制限することをお勧めします。詳細については、「[Optional conditions for your role trust relationships](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html)」を参照してください。
## コンソールで Control Catalog を表示する
AWS Control Tower コンソールでコントロール情報を表示するには、IAM ポリシーに `controlcatalog` のアクセス許可を追加する必要があります。これらのアクセス許可は次のとおりです。
+ `controlcatalog:GetControl`
+ `controlcatalog:ListControls`
+ `controlcatalog:ListControlMappings`
+ `controlcatalog:ListCommonControls`
ポリシーで更新されたアクセス許可の例を次に示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"controlcatalog:GetControl",
"controlcatalog:ListControls",
"controlcatalog:ListControlMappings",
"controlcatalog:ListCommonControls"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
AWS Control Tower は `controlcatalog` API を呼び出して特定のコントロールメタデータを取得するため、これらのアクセス許可を追加する必要があり、AWS Control Tower のアクセス許可では不十分です。
アクセス許可を更新する方法の詳細については、「[ロールを作成して、アクセス許可を割り当てる](https://docs.aws.amazon.com//controltower/latest/userguide/assign-permissions.html)」を参照してください。
`controlcatalog` IAM アクションの詳細については、「[AWS Control Catalog のアクション、リソース、および条件キー](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awscontrolcatalog.html)」を参照してください。
**注記**
コントロール情報は、[Control Catalog API](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/Welcome.html) を介して利用できます。
## AWS Control Tower 管理者ロール
このロールは、ランディングゾーンの維持にきわめて重要なインフラストラクチャへのアクセス権を持つ AWS Control Tower を提供します。`AWS ControlTowerAdmin` ロールには、アタッチされたマネージドポリシーと、IAM ロールのロール信頼ポリシーが必要です。ロール信頼ポリシーは、リソースベースのポリシーで、どのプリンシパルがロールを引き受けることができるかを指定します。**
このロールの信頼ポリシーのサンプルスニペットを次に示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "controltower.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
AWS CLI からこのロールを作成し、 という名前のファイルに配置するには`trust.json`、CLI コマンドの例を次に示します。
```
aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://trust.json
```
このロールには 2 つの IAM ポリシーが必要です。
1. インラインポリシー。次に例を示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*"
}
]
}
```
------
1. 次に示すマネージドポリシー。これは `AWS ControlTowerServiceRolePolicy` です。
## AWS ControlTowerServiceRolePolicy
**AWS ControlTowerServiceRolePolicy** は、CloudFormation スタックセットとスタックインスタンス、 AWS CloudTrail ログファイル、AWS Control Tower の設定アグリゲータ、AWS Control Tower によって管理される AWS Organizations アカウントと組織単位 (OUs) などの AWS AWS Control Tower リソースを作成および管理するためのアクセス許可を定義する AWSマネージドポリシーです。
この管理ポリシーの更新は、表 [AWS Control Tower のマネージドポリシー](managed-policies-table.md) にまとめられています。
詳細については「*AWS マネージドポリシーリファレンスガイド*」の「[AWS ControlTowerServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerServiceRolePolicy.html)」を参照してください。
ロール信頼ポリシー:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"controltower.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
インラインポリシーは `AWS ControlTowerAdminPolicy` です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
## AWS ControlTowerIdentityCenterManagementPolicy
このポリシーは、AWS Control Tower に登録されているメンバーアカウントの IAM アイデンティティセンター (IdC) リソースを設定するアクセス許可を提供します。AWS Control Tower でランディングゾーンの設定 (または更新) 中に ID プロバイダーとして IAM Identity Center を選択すると、このポリシーが `AWS ControlTowerAdmin` ロールにアタッチされます。
JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWS ControlTowerIdentityCenterManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSControlTowerIdentityCenterManagementPolicy.html)」を参照してください。
## AWS ControlTowerStackSetRole
CloudFormation は、AWS Control Tower によって作成されたアカウントにスタックセットをデプロイするためにこのロールを引き受けます。インラインポリシー:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/AWSControlTowerExecution"
],
"Effect": "Allow"
}
]
}
```
------
**信頼ポリシー**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerCloudTrailRolePolicy
AWS Control Tower は、ベストプラクティスとして CloudTrail を有効にし、CloudTrail にこのロールを提供します。CloudTrail は CloudTrail ログを作成し公開するために、このロールを引き受けます。
**管理ポリシー:** `AWS ControlTowerCloudTrailRolePolicy`
このロールは`AWS ControlTowerCloudTrailRolePolicy`、AWS Control Tower に代わって Amazon CloudWatch Logs に監査ログを発行するために必要なアクセス許可を CloudTrail に付与する AWSマネージドポリシー を使用します。この管理ポリシーは、このロールに以前使用されていたインラインポリシーを置き換え、 AWS が顧客の介入なしにポリシーを更新できるようにします。
詳細については、「 *AWS マネージドポリシーリファレンスガイド*」の[AWS ControlTowerCloudTrailRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerCloudTrailRolePolicy.html)」を参照してください。
この管理ポリシーの更新は、表 [AWS Control Tower のマネージドポリシー](managed-policies-table.md) にまとめられています。
**注記**
管理ポリシーの導入前は、このロールは同等のアクセス許可を持つインラインポリシーを使用していました。インラインポリシーが マネージドポリシーに置き換えられ、シームレスな更新が可能になりました。
**以前のインラインポリシー (参照用):**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "logs:CreateLogStream",
"Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
"Effect": "Allow"
},
{
"Action": "logs:PutLogEvents",
"Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
"Effect": "Allow"
}
]
}
```
------
**信頼ポリシー**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerBlueprintAccess ロールの要件
AWS Control Tower では、同じ組織内の指定されたブループリントハブアカウントに `AWS ControlTowerBlueprintAccess` ロールを作成する必要があります。
**ロール名**
ロールタイプは、`AWS ControlTowerBlueprintAccess` である必要があります。
**ロール信頼ポリシー**
ロールは、以下のプリンシパルを信頼するように設定する必要があります。
+ 管理アカウントで AWS Control Tower を使用するプリンシパル。
+ 管理アカウントの `AWS ControlTowerAdmin` ロール。
以下の例は、最小特権の信頼ポリシーを示しています。独自のポリシーを作成する場合は、*YourManagementAccountId* を AWS Control Tower 管理アカウントの実際のアカウント ID で置き換え、*YourControlTowerUserRole* を管理アカウントの IAM ロールの識別子で置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/service-role/AWSControlTowerAdmin",
"arn:aws:iam::111122223333:role/YourControlTowerUserRole"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
**ロールのアクセス許可**
管理ポリシーの **AWSServiceCatalogAdminFullAccess** をロールにアタッチする必要があります。
## AWSServiceRoleForAWSControlTower
このロールは、ランディングゾーンの維持に不可欠な操作 (ドリフトしたリソースの通知など) のために、Log Archive アカウント、監査アカウント、およびメンバーアカウントへのアクセス権を AWS Control Tower に 付与します。
`AWS ServiceRoleFor AWS ControlTower` ロールには、アタッチされたマネージドポリシーと、IAM ロールのロール信頼ポリシーが必要です。
**このロールのマネージドポリシー: **`AWS ControlTowerAccountServiceRolePolicy`
ロール信頼ポリシー:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "controltower.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerAccountServiceRolePolicy
この AWS管理ポリシーにより、AWS Control Tower は自動アカウント設定と一元化されたガバナンスを提供する AWS サービスをユーザーに代わって呼び出すことができます。
このポリシーには、Security Hub CSPM Service-**managed Standard: AWS Control Tower の一部である Security Hub CSPM コントロールによって管理されるリソースの結果転送を AWS Control Tower **が実装 AWS Security Hub CSPM するための最小限のアクセス許可が含まれており、カスタマーアカウントを管理する機能を制限する変更が防止されます。これはバックグラウンド AWS Security Hub CSPM ドリフト検出プロセスの一部であり、お客様が直接開始することはありません。
このポリシーは、各メンバーアカウントで、特に Security Hub CSPM コントロール用に Amazon EventBridge ルールを作成するアクセス許可を付与します。これらのルールでは、正確な EventPattern を指定する必要があります。また、ルールはサービスプリンシパルが管理するルールにのみ適用されます。
**サービスプリンシパル: ** `controltower.amazonaws.com`
詳細については、「*AWS マネージドポリシーリファレンスガイド*」の「[AWS ControlTowerAccountServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerAccountServiceRolePolicy.html)」を参照してください。
この管理ポリシーの更新は、表 [AWS Control Tower のマネージドポリシー](managed-policies-table.md) にまとめられています。
# AWS Control Tower のマネージドポリシー
AWS は、 によって作成および管理されるスタンドアロン IAM ポリシーを提供することで、多くの一般的なユースケースに対処します AWS。マネージドポリシーは、一般的ユースケースに必要な許可を付与することで、どの許可が必要なのかをユーザーが調査する必要をなくすることができます。詳細については、「*IAM ユーザーガイド*」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) - 既存ポリシーへの更新 | AWS Control Tower は、サービスにリンクされたフックの内部改善`BatchDescribeTypeConfigurations`のために、AWS Control Tower が AWS CloudFormation サービス API を呼び出すことを可能にする新しいアクセス許可を追加しました。 | 2026 年 3 月 23 日 |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) – 既存ポリシーへの更新 | AWS Control Tower は、Amazon EventBridge ルール条件の検証精度を向上させるために既存のポリシーを更新しました。更新により`events:detail-type`、条件が から に移動`StringEquals`され`ForAllValues:StringEquals`、同じ機能アクセス許可を維持しながら、イベントパターンマッチングの制御が向上します。 | 2025 年 12 月 30 日 |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) – 既存ポリシーへの更新 | AWS Control Tower は、次のアクセス許可を拡張する新しいポリシーを追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/managed-policies-table.html) | 2025 年 11 月 10 日 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 管理ポリシーの更新 | AWS Control Tower は、 AWS ControlTowerServiceRolePolicy の Amazon CloudWatch Logs リソースパターンを更新し、ランディングゾーン 4.0 のオプション AWS CloudTrail の統合をサポートしました。パターンが から `aws-controltower/CloudTrailLogs:*`に変更され`aws-controltower/CloudTrailLogs*:*`、 の後にワイルドカード文字が追加され`CloudTrailLogs`、任意のサフィックスを持つロググループを管理できるようになりました。 この更新により、ランディングゾーン 4.0 のオプション AWS CloudTrail の統合が有効になり、お客様は AWS CloudTrail 統合を複数回有効または無効にできます。統合を有効にするたびに、Amazon CloudWatch Logs ロググループは一意のサフィックスで再作成され、名前の競合を回避します。更新は、既存のデプロイと下位互換性があります。 | 2025 年 10 月 31 日 |
| [AWS ControlTowerCloudTrailRolePolicy](access-control-managing-permissions.md#AWSControlTowerCloudTrailRolePolicy) – 新しいマネージドポリシー | AWS Control Tower は AWS ControlTowerCloudTrailRolePolicy マネージドポリシーを導入しました。これにより、CloudTrail はログストリームを作成し、Control Tower が管理する Amazon CloudWatch Logs ロググループにログイベントを発行できます。 この管理ポリシーは、以前 AWS ControlTowerCloudTrailRole で使用されていたインラインポリシーを置き換え、お客様の介入なしにポリシーを更新 AWS できるようにします。ポリシーは、パターン に一致する名前を持つロググループに限定されます`aws-controltower/CloudTrailLogs*`。 | 2025 年 10 月 31 日 |
| [AWS ControlTowerIdentityCenterManagementPolicy](access-control-managing-permissions.md#AWSControlTowerIdentityCenterManagementPolicy) - 新しいポリシー | AWS Control Tower は、お客様が AWS Control Tower に登録されているアカウントで IAM Identity Center リソースを設定できるようにする新しいポリシーを導入し、アカウントの自動登録時に AWS Control Tower が一部のタイプのドリフトを修正できるようにします。 この変更は、お客様が AWS Control Tower で IAM アイデンティティセンターを設定し、AWS Control Tower が自動登録ドリフトを修正できるようにするために必要です。 | 2025 年 10 月 10 日 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 既存ポリシーへの更新 | AWS Control Tower は、アカウントを AWS Control Tower に自動登録するときに、AWS Control Tower がスタックセットリソースをクエリしてメンバーアカウントにデプロイできるようにする新しい CloudFormation アクセス許可を追加しました。 | 2025 年 10 月 10 日 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 既存ポリシーへの更新 | AWS Control Tower は、お客様がサービスにリンクされた AWS Config ルールを有効または無効にできるようにする新しいアクセス許可を追加しました。 この変更は、お客様が Config ルールによってデプロイされるコントロールを管理できるようにするために必要です。 | 2025 年 6 月 5 日 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 既存ポリシーへの更新 | AWS Control Tower は、AWS Control Tower が で AWS CloudFormation サービス APIs `ActivateType`、、`DeactivateType`および を呼び出すことを許可する新しいアクセス許可を追加`SetTypeConfiguration`しました`AWS::ControlTower types`。 この変更により、お客様はプライベート CloudFormation フックタイプのデプロイなしでプロアクティブコントロールをプロビジョニングできます。 | 2024 年 12 月 10 日 |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) - 新しいポリシー | AWS Control Tower は、AWS Control Tower がイベントルールを作成および管理し、それらのルールに基づいて Security Hub CSPM に関連するコントロールのドリフト検出を管理できるようにする新しいサービスにリンクされたロールを追加しました。 この変更は、これらのリソースが Security Hub CSPM **サービスマネージドスタンダード: AWS Control Tower の一部である Security Hub CSPM **コントロールに関連している場合に、お客様がドリフトしたリソースをコンソールで表示できるようにするために必要です。 | 2023 年 5 月 22 日 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 既存ポリシーへの更新 | AWS Control Tower は、ランディングゾーンの顧客アカウント (管理アカウント、ログアーカイブアカウント、監査アカウント、OU メンバーアカウント) がオプトイン AWS リージョン を利用できるように、AWS Control Tower が AWS アカウント管理サービスにより実装された `EnableRegion`、`ListRegions`、および`GetRegionOptStatus` API を呼び出すための新しい権限を追加されました。 この変更は、お客様が AWS Control Tower によるリージョン管理をオプトインリージョンに拡張するために必要です。 | 2023 年 4 月 6 日 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 既存ポリシーへの更新 | AWS Control Tower では、AWS Control Tower がブループリント (ハブ) アカウントで `AWSControlTowerBlueprintAccess` ロールを引き受けることができる新しいアクセス許可が追加されました。ブループリント (ハブ) アカウントは、組織内の専用アカウントであり、1 つ以上の Service Catalog 製品に保存されている事前定義済みのブループリントを含みます。AWS Control Tower は、Service Catalog ポートフォリオの作成、リクエストされたブループリント製品の追加、およびアカウントプロビジョニング時にリクエストされたメンバーアカウントへのポートフォリオの共有という 3 つのタスクを実行するために `AWSControlTowerBlueprintAccess` ロールを引き受けます。 この変更は、お客様が AWS Control Tower Account Factory を通じてカスタマイズされたアカウントをプロビジョニングするために必要です。 | 2022 年 10 月 28 日 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 既存ポリシーへの更新 | AWS Control Tower は、ランディングゾーンバージョン 3.0 以降、お客様が組織レベルの AWS CloudTrail 証跡を設定できるようにする新しいアクセス許可を追加しました。 組織ベースの CloudTrail 機能を使用するには、お客様が CloudTrail サービスに対して信頼されたアクセスを有効にする必要があります。また、IAM ユーザーまたはロールが、管理アカウントで組織レベルの追跡を作成するアクセス許可を持っていることが必要です。 | 2022 年 6 月 20 日 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 既存のポリシーを更新します | AWS Control Tower では、お客様が KMS キー暗号化を使用できるようにする新しいアクセス許可が追加されました。 KMS 機能を使用すると、お客様独自の KMS キーを提供して AWS CloudTrail ログを暗号化できます。また、お客様は、ランディングゾーンの更新または修復中に KMS キーを変更することもできます。KMS キーを更新する場合、 AWS CloudFormation には AWS CloudTrail `PutEventSelector` API を呼び出すためのアクセス許可が必要です。ポリシーの変更は、**AWS ControlTowerAdmin** ロールが API を呼び出せるようにすることです AWS CloudTrail `PutEventSelector`。 | 2021 年 7 月 28 日 |
| AWS Control Tower は変更の追跡を開始しました | AWS Control Tower は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 5 月 27 日 |