RCPs AWS のサービスをサポートするのリスト RCP の効果をテストする RCP の上限サイズ RCP を組織内のさまざまなレベルにアタッチするアクセス許可における RCP 効果 RCP によって制限されないリソースとエンティティ

リソースコントロールポリシー (RCP)

注記

サービスコントロールポリシー (SCP) とリソースコントロールポリシー (RCP)

組織のメンバーアカウント内の IAM プリンシパルのアクセス許可を制限する必要がある場合は、SCP を使用します。

組織アカウント外の IAM プリンシパルが、組織のメンバーアカウント内のリソースへのアクセスをリクエストする際に、制限する必要がある場合は、RCP を使用します。

詳細については、「Understanding SCPs and RCPs」を参照してください。

リソースコントロールポリシー (RCP) は、組織のアクセス許可の管理に使用できる組織ポリシーの一種です。RCP では、組織のすべてのリソースで使用可能な最大アクセス許可を一元的に制御できます。RCP は、アカウント内のリソースが組織のアクセスコントロールガイドラインに従っていることを確認するのに役立ちます。SCP は、すべての機能が有効になっている組織でのみ使用できます。組織が一括決済機能のみを有効にしている場合、SCP は使用できません。RCP を有効にする方法については、「ポリシータイプの有効化」を参照してください。

組織のリソースにアクセス許可を付与するには、RCP だけでは不十分です。RCP はアクセス許可を付与しません。RCP は、ID が組織のリソースに実行できるアクションに対して、アクセス許可ガードレールの定義や、制限の設定をおこないます。実際にアクセス許可を付与するためには、管理者は依然としてアイデンティティベースのポリシーを IAM ユーザーまたはロールにアタッチするか、リソースベースのポリシーをアカウント内リソースにアタッチする必要があります。詳細については、「IAM ユーザーガイド」の「アイデンティティベースおよびリソースベースのポリシー」を参照してください。

有効なアクセス許可とは、RCP およびサービスコントロールポリシー (SCP) によって許可される内容と、アイデンティティベースおよびリソースベースのポリシーによって許可されるアクセスの間の論理的な交点のことです。

RCP は管理アカウントのリソースには影響しない

RCP は管理アカウントのリソースには影響しません。RCP は、組織内のメンバーアカウントのリソースにのみ影響を与えます。これは、RCP が委任管理者として指定されたメンバーアカウントに適用されることも意味します。

トピック

RCPs AWS のサービスをサポートするのリスト
RCP の効果をテストする
RCP の上限サイズ
RCP を組織内のさまざまなレベルにアタッチする
アクセス許可における RCP 効果
RCP によって制限されないリソースとエンティティ
RCP 評価
RCP 構文
リソースコントロールポリシーの例

RCPs AWS のサービスをサポートするのリスト

RCPs、以下のアクションに適用されます AWS のサービス。

RCP の効果をテストする

AWS では、ポリシーがアカウントのリソースに与える影響を徹底的にテストすることなく、RCPs を組織のルートにアタッチしないことを強くお勧めします。まず、個々のテストアカウントに RCP をアタッチし、次に階層の下位にある OU に移動してから、必要に応じて組織構造を上へと進めていくことができます。影響を判断する 1 つの方法は、アクセス拒否エラーの AWS CloudTrail ログを確認することです。

RCP の上限サイズ

RCP 内のすべての文字は、その上限サイズに対してカウントされます。このガイドの例では、読みやすさを向上させるため、空白文字を追加してフォーマットされた RCP を示しています。ただし、ポリシーサイズが上限サイズに近づいている場合は、スペースを節約するために、引用符の外側にあるすべての空白文字 (スペースや改行など) を削除できます。

ヒント

RCP の構築にはビジュアルエディタを使用します。これによって、よけいな空白が自動的に削除されます。

RCP を組織内のさまざまなレベルにアタッチする

RCP は個々のアカウント、OU、または組織のルートに直接アタッチできます。RCP の動作の詳細な説明については、「RCP 評価」を参照してください。

アクセス許可における RCP 効果

RCPsは AWS Identity and Access Management (IAM) ポリシーの一種です。リソースベースのポリシーと最も密接に関連しています。ただし、RCP はアクセス権限を一切付与しません。RCP は、組織内のリソースに対するアクセス許可の上限を指定するアクセスコントロールです。詳細については、「IAM ユーザーガイド」の「ポリシーの評価論理」を参照してください。

RCPs、のサブセットのリソースに適用されます AWS のサービス。詳細については、「RCPs AWS のサービスをサポートするのリスト」を参照してください。
RCP は、RCP をアタッチした組織の一部であるアカウントによって管理されるリソースにのみ影響します。組織外のアカウントからのリソースには影響しません。組織内のアカウント A が所有する Amazon S3 バケットについて考えてみましょう。このバケットポリシー (リソースベースのポリシー) では、組織外のアカウント B のユーザーにアクセスが付与されています。アカウント A には RCP がアタッチされています。この RCP は、アカウント B のユーザーがアクセスした場合でも、アカウント A の S3 バケットに適用されます。ただし、この RCP はアカウント A のユーザーがアクセスした場合、アカウント B のリソースには適用されません。
RCP は、メンバーアカウント内のリソースに対するアクセス許可を制限します。アカウントのすべてのリソースは、その上位のすべての親から許可された権限のみを有します。アクセス許可がアカウントの上位のいずれかのレベルでブロックされている場合、影響を受けるアカウントのリソースはそのアクセス許可を持ちません。リソース所有者が任意のユーザーにフルアクセスを許可するリソースベースのポリシーをアタッチしたとしても同じです。
RCP は、オペレーションリクエストの一部として承認されたリソースに適用されます。これらのリソースは、サービス認可リファレンスのアクションテーブルの [リソースタイプ] 列にあります。リソースが [リソースタイプ] 列で指定されている場合、呼び出しプリンシパルアカウントの RCP が適用されます。例えば、s3:GetObject はオブジェクトリソースを承認します。GetObject リクエストが行われるたびに、該当する RCP が適用され、リクエスト元のプリンシパルが GetObject オペレーションを呼び出すことができるかどうかが判断されます。該当する RCP とは、アカウント、組織単位 (OU)、またはアクセスされるリソースを所有する組織のルートにアタッチされた RCP です。
RCP は、組織内のメンバーアカウントのリソースのみに影響します。管理アカウントのリソースには影響しません。これは、RCP が委任管理者として指定されたメンバーアカウントに適用されることも意味します。詳細については、「管理アカウントのベストプラクティス」を参照してください。
プリンシパルが RCP がアタッチされたアカウント内のリソース (該当する RCP を持つリソース) へのアクセスをリクエストすると、RCP がポリシー評価ロジックに含まれ、プリンシパルでアクセスを許可するか拒否するかが判断されます。
RCP は、プリンシパルが同じ組織に属しているかどうかにかかわらず、該当する RCP を持つメンバーアカウント内のリソースにアクセスしようとするプリンシパルの有効なアクセス許可に影響を与えます。これにはルートユーザーが含まれます。例外は、プリンシパルがサービスにリンクされたロールである場合です。これは RCP がサービスにリンクされたロールからの呼び出しには適用されないからです。サービスにリンクされたロールにより AWS のサービス、はユーザーに代わって必要なアクションを実行でき、RCPs によって制限することはできません。
ユーザーとロールには、アイデンティティベースのポリシーやリソースベースのポリシーなど、適切な IAM アクセス許可ポリシーを使用して、アクセス許可を引き続き付与する必要があります。IAM アクセス許可ポリシーのないユーザーやロールはアクセス権を持ちません。該当する RCP がすべてのサービス、すべてのアクション、すべてのリソースを許可する場合でもです。

RCP によって制限されないリソースとエンティティ

RCP を使用して以下を制限することはできません。

管理アカウントのリソースに対するすべてのアクション。
RCP は、サービスにリンクされたロールの有効なアクセス許可には一切影響しません。サービスにリンクされたロールは、 AWS サービスに直接リンクされた一意のタイプの IAM ロールであり、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれます。サービスにリンクされたロールのアクセス許可を RCP で制限することはできません。RCP は AWS 、サービスにリンクされたロールを引き受けるサービスの能力にも影響しません。つまり、サービスにリンクされたロールの信頼ポリシーも RCPsの影響を受けません。
RCPsは for AWS マネージドキーAWS Key Management Serviceには適用されません。 AWS マネージドキーはユーザーに代わってによって作成、管理、使用されます AWS のサービス。アクセス許可を変更または管理することはできません。

RCP は次のアクセス許可に影響しません。

サービス	API	RCP によって承認されていないリソース
AWS Key Management Service	`kms:RetireGrant`	RCP は `kms:RetireGrant` アクセス許可には影響しません。`kms:RetireGrant` へのアクセス権限を判断する方法の詳細については、「AWS KMS デベロッパーガイド」の「Retiring and revoking grants」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

トラブルシューティング

RCP 評価