翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Organizations の認可ポリシー

AWS Organizations の認可ポリシーを使用することで、メンバーアカウントのプリンシパルとリソースのアクセスを一元的に設定して管理することができます。これらのポリシーが、適用先の組織単位 (OU) とアカウントにどのように影響するかは、適用する認可ポリシーのタイプによって異なります。

AWS Organizations には、サービスコントロールポリシー (SCP) とリソースコントロールポリシー (RCP) という 2 つの異なるタイプの認可ポリシーがあります。

SCP と RCP の違い

SCP はプリンシパル中心のコントロールです。SCP は、メンバーアカウントのプリンシパルが利用できる最大アクセス許可に対するアクセス許可ガードレールを作成するか、もしくは制限を設定します。SCP は、組織内のプリンシパルに一貫したアクセスコントロールを一元的に適用する場合に使用できます。これには、IAM ユーザーと IAM ロールがアクセスできるサービス、アクセスできるリソース、またはリクエストを実行できる条件 (特定のリージョンやネットワークからなど) の指定が含まれます。

RCP はリソース中心のコントロールです。RCP は、メンバーアカウントのリソースで使用できる最大アクセス許可に対するアクセス許可ガードレールを作成するか、もしくは制限を設定します。組織内のリソース間で一貫したアクセスコントロールを一元的に適用したい場合は、RCP を使用できます。これにより、組織に属する ID のみがアクセスできるようにリソースへのアクセスを制限したり、あるいは組織外部の ID がリソースにアクセスできる条件を指定したりすることができます。

一部のコントロールは、SCP と RCP で同様の方法で適用できます。たとえば、暗号化されていないオブジェクトを S3 バケットにアップロードすることを制限したい場合、それを SCP として記述することで、プリンシパルが S3 バケットに対して実行できるアクションにコントロールを適用できます。このコントロールは、RCP として記述して、任意のプリンシパルがオブジェクトを S3 バケットにアップロードするたびに暗号化を要求するようにすることもできます。2 番目のオプションは、バケットが、サードパーティーベンダーなどお客様の組織外のプリンシパルに S3 バケットへのオブジェクトのアップロードを許可する場合に推奨されます。ただし、コントロールによって、RCP でのみ実装できるものもあり、また SCP にのみ実装できるものもあります。詳細については、「SCP と RCP の一般的なユースケース」を参照してください。

SCP と RCP を使用する

SCP と RCP は独立したコントロールです。SCP または RCP のいずれか一方のみを有効にするか、両方のポリシータイプを一緒に使用するかどうかを選択できます。SCP と RCP の両方を使用することで、ID とリソースの周囲にデータ境界を作成できます。

SCP を使用することで、ID がどのリソースにアクセスできるかをコントロールできます。たとえば、ID が AWS 組織内のリソースにアクセスすることを許可したいとします。一方で、ID が組織外のリソースにアクセスすることは禁止したいケースを考えてみましょう。このようなコントロールは SCP を使用して適用できます。

RCP を使用することで、どの ID がリソースにアクセスできるかをコントロールできます。たとえば、組織内の ID に、組織内のリソースにアクセスすることを許可したいとします。一方で、組織外部の ID にはリソースにアクセスさせたくないケースを考えてみましょう。このようなコントロールは RCP を使用して適用できます。RCP を利用することで、リソースにアクセスする組織外のプリンシパルに対する有効なアクセス許可に影響を及ぼすことができます。SCP は、AWS 組織内のプリンシパルに対する有効なアクセス許可にのみ影響を及ぼします。

SCP と RCP の一般的なユースケース

次の表に、SCP と RCP を使用する場合の一般的なユースケースの詳細を示します。