翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# の承認ポリシー AWS Organizations
<a name="orgs_manage_policies_authorization_policies"></a>

の承認ポリシー AWS Organizations を使用すると、メンバーアカウントのプリンシパルとリソースへのアクセスを一元的に設定および管理できます。これらのポリシーが、適用先の組織単位 (OU) とアカウントにどのように影響するかは、適用する認可ポリシーのタイプによって異なります。

には、 AWS Organizationsサービスコントロールポリシー (SCPs) とリソースコントロールポリシー (RCPs 2 つの異なるタイプの認可ポリシーがあります。

**Topics**
+ [SCP と RCP の違い](#understanding-scps-and-rcps)
+ [SCP と RCP を使用する](#when-to-use-scps-and-rcps)
+ [サービスコントロールポリシー](orgs_manage_policies_scps.md)
+ [リソースコントロールポリシー](orgs_manage_policies_rcps.md)

## SCP と RCP の違い
<a name="understanding-scps-and-rcps"></a>

SCP はプリンシパル中心のコントロールです。SCP は、メンバーアカウントのプリンシパルが利用できる最大アクセス許可に対するアクセス許可ガードレールを作成するか、もしくは制限を設定します。SCP は、組織内のプリンシパルに一貫したアクセスコントロールを一元的に適用する場合に使用できます。これには、IAM ユーザーと IAM ロールがアクセスできるサービス、アクセスできるリソース、またはリクエストを実行できる条件 (特定のリージョンやネットワークからなど) の指定が含まれます。

RCP はリソース中心のコントロールです。RCP は、メンバーアカウントのリソースで使用できる最大アクセス許可に対するアクセス許可ガードレールを作成するか、もしくは制限を設定します。組織内のリソース間で一貫したアクセスコントロールを一元的に適用したい場合は、RCP を使用できます。これにより、組織に属する ID のみがアクセスできるようにリソースへのアクセスを制限したり、あるいは組織外部の ID がリソースにアクセスできる条件を指定したりすることができます。

一部のコントロールは、SCP と RCP で同様の方法で適用できます。たとえば、[暗号化されていないオブジェクトを S3 バケットにアップロードすることを制限](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_s3.html#example-s3-1)したい場合、それを SCP として記述することで、プリンシパルが S3 バケットに対して実行できるアクションにコントロールを適用できます。このコントロールは、RCP として記述して、任意のプリンシパルがオブジェクトを S3 バケットにアップロードするたびに暗号化を要求するようにすることもできます。2 番目のオプションは、バケットが、サードパーティーベンダーなどお客様の組織外のプリンシパルに S3 バケットへのオブジェクトのアップロードを許可する場合に推奨されます。ただし、コントロールによって、RCP でのみ実装できるものもあり、また SCP にのみ実装できるものもあります。詳細については、「[SCP と RCP の一般的なユースケース](#scps-rcps-general-use-cases)」を参照してください。

## SCP と RCP を使用する
<a name="when-to-use-scps-and-rcps"></a>

SCP と RCP は独立したコントロールです。SCP または RCP のいずれか一方のみを有効にするか、両方のポリシータイプを一緒に使用するかどうかを選択できます。SCP と RCP の両方を使用することで、ID とリソースの周囲に[データ境界](https://aws.amazon.com/identity/data-perimeters-on-aws/)を作成できます。

SCP を使用することで、ID がどのリソースにアクセスできるかをコントロールできます。たとえば、ID が AWS 組織内のリソースにアクセスすることを許可できます。一方で、ID が組織外のリソースにアクセスすることは禁止したいケースを考えてみましょう。このようなコントロールは SCP を使用して適用できます。

RCP を使用することで、どの ID がリソースにアクセスできるかをコントロールできます。たとえば、組織内の ID に、組織内のリソースにアクセスすることを許可したいとします。一方で、組織外部の ID にはリソースにアクセスさせたくないケースを考えてみましょう。このようなコントロールは RCP を使用して適用できます。RCP を利用することで、リソースにアクセスする組織外のプリンシパルに対する有効なアクセス許可に影響を及ぼすことができます。SCPsは、 AWS 組織内のプリンシパルの有効なアクセス許可にのみ影響します。

### SCP と RCP の一般的なユースケース
<a name="scps-rcps-general-use-cases"></a>

次の表に、SCP と RCP を使用する場合の一般的なユースケースの詳細を示します。


****  

|  | **影響** | 
| --- |--- |
| **ユースケース** | **ポリシータイプ** | **ID** | **外部 ID** | **リソース** | **外部リソース (リクエストのターゲット)** | 
| --- |--- |--- |--- |--- |--- |
| Restrict which services or actions your identities can use | SCP | X |  | X | X | 
| Restrict which resources your identities can access | SCP | X |  | X | X | 
| Enforce requirements on how your identities can access resources | SCP | X |  | X | X | 
| Restrict which identities can access your resources | RCP | X | X | X |  | 
| Protect sensitive resources in your organization | RCP | X | X | X |  | 
| Enforce requirements on how your resources can be accessed | RCP | X | X | X |  |