RCP 評価

注記

このセクションの情報は、バックアップポリシー、タグポリシー、チャットアプリケーションポリシー、AI サービスのオプトアウトポリシーなどの管理ポリシータイプには適用されません。詳細については、「管理ポリシーの継承を理解する」を参照してください。

のさまざまなレベルで複数のリソースコントロールポリシー (RCPs) をアタッチできるため AWS Organizations、RCPs の評価方法を理解することで、適切な結果をもたらす RCPs記述できます。

RCPsを使用するための戦略

RCPFullAWSAccess ポリシーは AWS マネージドポリシーです。リソースコントロールポリシー (RCPs。このポリシーをデタッチすることはできません。このデフォルトの RCP では、すべてのプリンシパルとアクションのアクセスが RCP 評価を通過できます。つまり、RCPs の作成とアタッチを開始するまで、既存の IAM アクセス許可はすべてそのまま動作し続けます。この AWS 管理ポリシーはアクセスを許可しません。

Deny ステートメントを使用して、組織内のリソースへのアクセスをブロックできます。特定のアカウントのリソースに対するアクセス許可を拒否する場合、ルートからアカウント (ターゲットアカウント自体を含む) への直接パスの各 OU までの RCP は、そのアクセス許可を拒否できます。

Deny ステートメントは、組織のより広範な部分に当てはまる制限を実装するための強力な方法です。たとえば、組織外の ID がリソースのルートレベルにアクセスできないようにポリシーをアタッチできます。これは、組織内のすべてのアカウントに対して有効です。では、ポリシーがアカウントのリソースに与える影響を徹底的にテストすることなく、RCPs を組織のルートにアタッチしないことを AWS 強くお勧めします。詳細については、「RCPs の効果のテスト」を参照してください。

図 1 では、特定のサービスに明示的なDenyステートメントが指定されている RCP が本番稼働用 OU にアタッチされています。その結果、組織内のどのレベルにも適用された拒否ポリシーが、その下にあるすべての OU とメンバーアカウントに対して評価されるため、アカウント A とアカウント B の両方がサービスへのアクセスを拒否されます。

Production OU に Deny ステートメントがアタッチされ、それがアカウント A とアカウント B に与える影響を示す組織構造の例

図 1: Production OU にアタッチされたDenyステートメントと、アカウント A とアカウント B への影響を含む組織構造の例

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

リソースコントロールポリシー

RCP 構文