翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
のリソースコントロールポリシー AWS KMS
リソースコントロールポリシー (RCPsは、組織内の AWS リソースに予防コントロールを適用するために使用できる組織ポリシーの一種です。RCPsは、 AWS リソースへの外部アクセスを大規模に一元的に制限するのに役立ちます。RCPs、サービスコントロールポリシー (SCPs。SCPs を使用して組織内の IAM ロールとユーザーに最大アクセス許可を一元的に設定できますが、RCPs を使用して組織内の AWS リソースに最大アクセス許可を一元的に設定できます。
RCPs を使用して、組織内のカスタマーマネージド KMS キーへのアクセス許可を管理できます。RCPsだけでは、カスタマーマネージドキーにアクセス許可を付与するには不十分です。RCP によってアクセス許可は付与されません。RCP は、ID が影響を受けるアカウントのリソースに対して実行できるアクションに対するアクセス許可ガードレールを定義するか、制限を設定します。管理者は、実際にアクセス許可を付与するために、IAM ロールまたはユーザー、またはキーポリシーにアイデンティティベースのポリシーをアタッチする必要があります。
注記
組織内のリソースコントロールポリシーは、 には適用されませんAWS マネージドキー。
AWS マネージドキー は、ユーザーに代わって AWS サービスによって作成、管理、使用されます。ユーザーのアクセス許可を変更、管理することはできません。
詳細はこちら
-
RCPs「リソースコントロールポリシー」を参照してください。 AWS Organizations
-
例を含む RCPsAWS Organizations 「 ユーザーガイド」の「RCP 構文」を参照してください。
次の例は、RCP を使用して、外部プリンシパルが組織内のカスタマーマネージドキーにアクセスできないようにする方法を示しています。このポリシーは単なるサンプルであり、独自のビジネスおよびセキュリティニーズに合わせて調整する必要があります。たとえば、ビジネスパートナーによるアクセスを許可するようにポリシーをカスタマイズできます。詳細については、「データ境界ポリシーの例」リポジトリ
注記
アクセスkms:RetireGrant許可は、 Action要素でアスタリスク (*) をワイルドカードとして指定しても、RCP では有効ではありません。
へのアクセス許可の決定方法の詳細については、kms:RetireGrant「」を参照してくださいグラントの使用停止と取り消し。
次の RCP の例では、リクエストが組織から送信された場合にのみ、 AWS サービスプリンシパルがカスタマーマネージド KMS キーにアクセスできることを要求しています。このポリシーは、 aws:SourceAccount が存在するリクエストにのみコントロールを適用します。これにより、 の使用を必要としないサービス統合aws:SourceAccountには影響しません。aws:SourceAccount がリクエストコンテキストに存在する場合、Null条件は に評価されtrue、aws:SourceOrgIDキーが適用されます。
混乱した代理問題の詳細については、IAM ユーザーガイドの混乱した代理問題を参照してください。
