翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
リソースコントロールポリシーの例
このトピックに表示されるリソースコントロールポリシー (RCPs) の例は、情報提供のみを目的としています。データ境界の例については、GitHub のデータ境界ポリシーの例
これらの例を使用する前に
組織でこれらの RCPsの例を使用する前に、次の操作を行います。
-
RCPs を慎重に確認し、固有の要件に合わせてカスタマイズします。
-
使用する AWS サービスを使用して、環境内の RCPs を徹底的にテストします。
このセクションのポリシー例は、RCPs の実装と使用を示しています。これらの例は、公式な AWS 推奨事項やベストプラクティスとして解釈されることを意図したものではありません。環境のビジネス要件を解決するために、ポリシーの適合性を慎重にテストするのはお客様の責任です。拒否ベースのリソースコントロールポリシーは、ポリシーに必要な例外を追加しない限り、 AWS サービスの使用を意図せずに制限またはブロックする可能性があります。
一般的な例
RCPFullAWSAccess
次のポリシーは AWS マネージドポリシーであり、リソースコントロールポリシー (RCPs。このポリシーをデタッチすることはできません。このデフォルトの RCP では、すべてのプリンシパルとアクションが リソースにアクセスできます。つまり、RCPs の作成とアタッチを開始するまで、既存の IAM アクセス許可はすべてそのまま動作し続けます。このポリシーの効果をテストする必要はありません。既存の認可動作を リソースで継続できるためです。
サービス間の混乱した代理保護
一部の AWS のサービス (呼び出しサービス) は、プリン AWS のサービス シパルを使用して他の AWS のサービス (呼び出しサービス) から AWS リソースにアクセスします。アクターが AWS リソースへのアクセスを意図していない場合、プリン AWS のサービス シパルの信頼を使用して、アクセスを意図していないリソースとやり取りしようとすると、サービス間の混乱した代理問題と呼ばれます。詳細については、IAM ユーザーガイドの「混乱した代理問題」を参照してください。
次のポリシーでは、リソースにアクセスする AWS のサービス プリンシパルは、組織からのリクエストに代わってのみアクセスする必要があります。このポリシーは、 aws:SourceAccountが存在するリクエストにのみコントロールを適用し、 の使用を必要としないサービス統合aws:SourceAccountが影響を受けないようにします。aws:SourceAccount がリクエストコンテキストに存在する場合、Null条件は に評価されtrue、aws:SourceOrgIDキーが適用されます。
リソースへの HTTPS 接続のみへのアクセスを制限する
次のポリシーでは、HTTPS (TLS) 経由の暗号化された接続でのみリソースにアクセスする必要があります。これにより、潜在的な攻撃者がネットワークトラフィックを操作するのを防ぐことができます。
Amazon S3 バケットポリシーの一貫したコントロール
次の RCP には、組織内の Amazon S3 バケットに一貫したアクセスコントロールを適用するための複数のステートメントが含まれています。
-
ステートメント ID
EnforceS3TlsVersion– S3 バケットにアクセスするには、TLS バージョン 1.2 以上が必要です。 -
ステートメント ID
EnforceKMSEncryption– オブジェクトは KMS キーでサーバー側で暗号化する必要があります。
