翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Control Tower リソースに対するアクセス許可の管理の概要
<a name="access-control-overview"></a>

すべての AWS リソースは によって所有され AWS アカウント、リソースを作成またはアクセスするためのアクセス許可はアクセス許可ポリシーによって管理されます。アカウント管理者は、IAM アイデンティティ (つまり、ユーザー、グループ、ロール) に許可ポリシーをアタッチできます。一部のサービス ( など AWS Lambda) では、リソースへのアクセス許可ポリシーのアタッチもサポートされています。

**注記**  
アカウント管理者 (または管理者) は、管理者権限を持つユーザーです。**詳細については、「IAM ユーザーガイド」の「[IAM のベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。**

ユーザーまたはロールに権限を付与する責任を負う場合は、権限を必要とする*ユーザーとロール*、各ユーザーとロールが権限を必要とする*リソース*、およびそれらのリソースを操作するために許可する必要のある*特定のアクション*を把握して追跡する必要があります。

**Topics**
+ [AWS Control Tower のリソースとオペレーション](#access-control-resources)
+ [リソース所有権について](#access-control-owner)
+ [リソースへのアクセスの管理](access-control-manage-access-intro.md)
+ [ポリシー要素を指定: アクション、効果、プリンシパル](#access-control-specify-controltower-actions)
+ [ポリシーでの条件の指定](#specifying-conditions)

## AWS Control Tower のリソースとオペレーション
<a name="access-control-resources"></a>

AWS Control Tower では、プライマリリソースはランディングゾーンです。**AWS Control Tower では、追加のリソースタイプ、*コントロール* (*ガードレール*と呼ばれることもあります) もサポートされています。ただし、AWS Control Tower では、既存のランディングゾーンのコンテキストでのみコントロールを管理できます。コントロールは*サブリソース*と呼ぶことができます。

のリソースとサブリソース AWS には、次の例に示すように、一意の Amazon リソースネーム (ARNs) が関連付けられています。


****  

| リソースタイプ | ARN 形式 | 
| --- | --- | 
| ファイルシステム | arn:aws:elasticfilesystem:{{region}}:{{account-id}}:file-system/{{file-system-id}} | 

AWS Control Tower には、AWS Control Tower リソースと連携するための一連の API オペレーションが用意されています。利用可能なオペレーションのリストについては、「[AWS Control Tower API リファレンス](https://docs.aws.amazon.com/controltower/latest/APIReference/API_Operations.html)」の「AWS Control Tower」を参照してください。

AWS Control Tower の CloudFormation リソースの詳細については、 [ユーザーガイドを参照してください AWS CloudFormation](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/AWS_ControlTower.html)。

## リソース所有権について
<a name="access-control-owner"></a>

 AWS アカウントは、リソースを作成したユーザーに関係なく、アカウントで作成されたリソースを所有します。具体的には、リソース所有者は、リソース作成リクエストを認証する[プリンシパルエンティティ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) ( AWS アカウント ルートユーザー、IAM アイデンティティセンターユーザー、IAM ユーザー、または IAM ロール) の AWS アカウントです。次の例は、この仕組みを示しています。
+  AWS アカウントのアカウントルートユーザー認証情報を使用してランディングゾーン AWS を設定する場合、 AWS アカウントはリソースの所有者です。
+  AWS アカウントに IAM ユーザーを作成し、そのユーザーにランディングゾーンを設定するアクセス許可を付与する場合、そのユーザーは、アカウントが前提条件を満たしている限り、ランディングゾーンを設定できます。ただし、ユーザーが属する AWS アカウントがランディングゾーンリソースを所有しています。
+ ランディングゾーンを設定するアクセス許可を持つ AWS アカウントに IAM ロールを作成すると、そのロールを引き受けることのできるすべてのユーザーがランディングゾーンを設定できます。ロールが属する AWS アカウントは、ランディングゾーンリソースを所有します。

## ポリシー要素を指定: アクション、効果、プリンシパル
<a name="access-control-specify-controltower-actions"></a>

AWS Control Tower コンソール、または[ランディングゾーン API](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html) を使用して、ランディングゾーンを設定および管理できます。ランディングゾーンを設定するには、IAM ポリシーで定義された管理者権限を持つ IAM ユーザーである必要があります。

ポリシーで識別できる最も基本的な要素は次の通りです。
+ **リソース**– ポリシーで Amazon リソースネーム (ARN) を使用して、ポリシーを適用するリソースを識別します。詳細については、「[AWS Control Tower のリソースとオペレーション](#access-control-resources)」を参照してください。
+ **アクション** - アクションのキーワードを使用して、許可または拒否するリソースオペレーションを識別します。実行可能なアクションのタイプについては、「[AWS Control Tower で定義されたアクション](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awscontroltower.html#awscontroltower-actions-as-permissions)」を参照してください。
+ **効果** – ユーザーが特定のアクションを要求する際の効果を指定します。許可または拒否のいずれかになります。リソースへのアクセスを明示的に付与 (許可) していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。
+ **Principal** – ID ベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、権限 (リソースベースのポリシーにのみ適用) を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。AWS Control Tower では、リソースベースのポリシーはサポートされていません。

IAM ポリシーの構文と記述の詳細については、「*IAM ユーザーガイド*」の「[AWS IAM ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。

## ポリシーでの条件の指定
<a name="specifying-conditions"></a>

許可を付与するとき、IAM ポリシー言語を使用して、ポリシーが有効になる必要がある条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「*IAM ユーザーガイド*」の「[条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)」を参照してください。

条件を表すには、あらかじめ定義された条件キーを使用します。AWS Control Tower に固有の条件キーはありません。ただし、必要に応じて使用できる AWS広範な条件キーがあります。 AWS全体のキーの完全なリストについては、*IAM ユーザーガイド*の[「条件に使用可能なキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)」を参照してください。