翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Control Tower でアイデンティティベースのポリシー (IAM ポリシー) を使用する
このトピックでは、アカウント管理者がどのようにして IAM アイデンティティ (ユーザー、グループ、ロール) に許可ポリシーをアタッチし、それによって AWS Control Tower リソースでのオペレーションを実行する許可を付与する方法を示す、アイデンティティベースのポリシーの例を示します。
**重要**
初めに、AWS Control Tower リソースへのアクセスを管理するための基本概念と使用可能なオプションについて説明する概要トピックをお読みになることをお勧めします。詳細については、「[AWS Control Tower リソースに対するアクセス許可の管理の概要](access-control-overview.md)」を参照してください。
## AWS Control Tower 管理者ロール
このロールは、ランディングゾーンの維持にきわめて重要なインフラストラクチャへのアクセス権を持つ AWS Control Tower を提供します。`AWS ControlTowerAdmin` ロールには、アタッチされたマネージドポリシーと、IAM ロールのロール信頼ポリシーが必要です。ロール信頼ポリシーは、リソースベースのポリシーで、どのプリンシパルがロールを引き受けることができるかを指定します。**
このロールの信頼ポリシーのサンプルスニペットを次に示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "controltower.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
AWS CLI からこのロールを作成し、 という名前のファイルに配置するには`trust.json`、CLI コマンドの例を次に示します。
```
aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://trust.json
```
このロールには 2 つの IAM ポリシーが必要です。
1. インラインポリシー。次に例を示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*"
}
]
}
```
------
1. 次に示すマネージドポリシー。これは `AWS ControlTowerServiceRolePolicy` です。
## AWS ControlTowerServiceRolePolicy
**AWS ControlTowerServiceRolePolicy** は、CloudFormation スタックセットとスタックインスタンス、 AWS CloudTrail ログファイル、AWS Control Tower の設定アグリゲータ、AWS Control Tower によって管理される AWS Organizations アカウントと組織単位 (OUs) などの AWS AWS Control Tower リソースを作成および管理するためのアクセス許可を定義する AWSマネージドポリシーです。
この管理ポリシーの更新は、表 [AWS Control Tower のマネージドポリシー](managed-policies-table.md) にまとめられています。
詳細については「*AWS マネージドポリシーリファレンスガイド*」の「[AWS ControlTowerServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerServiceRolePolicy.html)」を参照してください。
ロール信頼ポリシー:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"controltower.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
インラインポリシーは `AWS ControlTowerAdminPolicy` です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
## AWS ControlTowerIdentityCenterManagementPolicy
このポリシーは、AWS Control Tower に登録されているメンバーアカウントの IAM アイデンティティセンター (IdC) リソースを設定するアクセス許可を提供します。AWS Control Tower でランディングゾーンの設定 (または更新) 中に ID プロバイダーとして IAM Identity Center を選択すると、このポリシーが `AWS ControlTowerAdmin` ロールにアタッチされます。
JSON ポリシードキュメントの最新バージョンを確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWS ControlTowerIdentityCenterManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSControlTowerIdentityCenterManagementPolicy.html)」を参照してください。
## AWS ControlTowerStackSetRole
CloudFormation は、AWS Control Tower によって作成されたアカウントにスタックセットをデプロイするためにこのロールを引き受けます。インラインポリシー:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/AWSControlTowerExecution"
],
"Effect": "Allow"
}
]
}
```
------
**信頼ポリシー**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerCloudTrailRolePolicy
AWS Control Tower は、ベストプラクティスとして CloudTrail を有効にし、CloudTrail にこのロールを提供します。CloudTrail は CloudTrail ログを作成し公開するために、このロールを引き受けます。
**管理ポリシー:** `AWS ControlTowerCloudTrailRolePolicy`
このロールは`AWS ControlTowerCloudTrailRolePolicy`、AWS Control Tower に代わって Amazon CloudWatch Logs に監査ログを発行するために必要なアクセス許可を CloudTrail に付与する AWSマネージドポリシー を使用します。この管理ポリシーは、このロールに以前使用されていたインラインポリシーを置き換え、 AWS が顧客の介入なしにポリシーを更新できるようにします。
詳細については、「 *AWS マネージドポリシーリファレンスガイド*」の[AWS ControlTowerCloudTrailRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerCloudTrailRolePolicy.html)」を参照してください。
この管理ポリシーの更新は、表 [AWS Control Tower のマネージドポリシー](managed-policies-table.md) にまとめられています。
**注記**
管理ポリシーの導入前は、このロールは同等のアクセス許可を持つインラインポリシーを使用していました。インラインポリシーが マネージドポリシーに置き換えられ、シームレスな更新が可能になりました。
**以前のインラインポリシー (参照用):**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "logs:CreateLogStream",
"Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
"Effect": "Allow"
},
{
"Action": "logs:PutLogEvents",
"Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
"Effect": "Allow"
}
]
}
```
------
**信頼ポリシー**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerBlueprintAccess ロールの要件
AWS Control Tower では、同じ組織内の指定されたブループリントハブアカウントに `AWS ControlTowerBlueprintAccess` ロールを作成する必要があります。
**ロール名**
ロールタイプは、`AWS ControlTowerBlueprintAccess` である必要があります。
**ロール信頼ポリシー**
ロールは、以下のプリンシパルを信頼するように設定する必要があります。
+ 管理アカウントで AWS Control Tower を使用するプリンシパル。
+ 管理アカウントの `AWS ControlTowerAdmin` ロール。
以下の例は、最小特権の信頼ポリシーを示しています。独自のポリシーを作成する場合は、{{YourManagementAccountId}} を AWS Control Tower 管理アカウントの実際のアカウント ID で置き換え、{{YourControlTowerUserRole}} を管理アカウントの IAM ロールの識別子で置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{{111122223333}}:role/service-role/AWSControlTowerAdmin",
"arn:aws:iam::{{111122223333}}:role/{{YourControlTowerUserRole}}"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
**ロールのアクセス許可**
管理ポリシーの **AWSServiceCatalogAdminFullAccess** をロールにアタッチする必要があります。
## AWSServiceRoleForAWSControlTower
このロールは、ランディングゾーンの維持に不可欠な操作 (ドリフトしたリソースの通知など) のために、Log Archive アカウント、監査アカウント、およびメンバーアカウントへのアクセス権を AWS Control Tower に 付与します。
`AWS ServiceRoleFor AWS ControlTower` ロールには、アタッチされたマネージドポリシーと、IAM ロールのロール信頼ポリシーが必要です。
**このロールのマネージドポリシー: **`AWS ControlTowerAccountServiceRolePolicy`
ロール信頼ポリシー:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "controltower.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerAccountServiceRolePolicy
この AWS管理ポリシーにより、AWS Control Tower は自動アカウント設定と一元化されたガバナンスを提供する AWS サービスをユーザーに代わって呼び出すことができます。
このポリシーには、Security Hub CSPM **サービスマネージドスタンダード: AWS Control Tower の一部である Security Hub CSPM コントロールによって管理されるリソースの結果転送を AWS Control Tower **が実装 AWS Security Hub CSPM するための最小限のアクセス許可が含まれており、お客様のアカウントを管理する機能を制限する変更が防止されます。これはバックグラウンド AWS Security Hub CSPM ドリフト検出プロセスの一部であり、お客様が直接開始することはありません。
このポリシーは、各メンバーアカウントで、特に Security Hub CSPM コントロール用の Amazon EventBridge ルールを作成するアクセス許可を付与します。これらのルールは正確な EventPattern を指定する必要があります。また、ルールはサービスプリンシパルが管理するルールにのみ適用されます。
**サービスプリンシパル: ** `controltower.amazonaws.com`
詳細については、「*AWS マネージドポリシーリファレンスガイド*」の「[AWS ControlTowerAccountServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerAccountServiceRolePolicy.html)」を参照してください。
この管理ポリシーの更新は、表 [AWS Control Tower のマネージドポリシー](managed-policies-table.md) にまとめられています。