翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# リソースコントロールポリシー (RCP)
<a name="orgs_manage_policies_rcps"></a>

**注記**  
**サービスコントロールポリシー (SCP) とリソースコントロールポリシー (RCP)**  
組織のメンバーアカウント内の IAM プリンシパルのアクセス許可を制限する必要がある場合は、SCP を使用します。  
組織アカウント外の IAM プリンシパルが、組織のメンバーアカウント内のリソースへのアクセスをリクエストする際に、制限する必要がある場合は、RCP を使用します。  
詳細については、「[Understanding SCPs and RCPs](orgs_manage_policies_authorization_policies.md)」を参照してください。

リソースコントロールポリシー (RCP) は、組織のアクセス許可の管理に使用できる組織ポリシーの一種です。RCP では、組織のすべてのリソースで使用可能な最大アクセス許可を一元的に制御できます。RCP は、アカウント内のリソースが組織のアクセスコントロールガイドラインに従っていることを確認するのに役立ちます。SCP は、[すべての機能が有効になっている](orgs_manage_org_support-all-features.md)組織でのみ使用できます。組織が一括決済機能のみを有効にしている場合、SCP は使用できません。RCP を有効にする方法については、「[ポリシータイプの有効化](enable-policy-type.md)」を参照してください。

組織のリソースにアクセス許可を付与するには、RCP だけでは不十分です。RCP はアクセス許可を付与しません。RCP は、ID が組織のリソースに実行できるアクションに対して、アクセス許可ガードレールの定義や、制限の設定をおこないます。実際にアクセス許可を付与するためには、管理者は依然としてアイデンティティベースのポリシーを IAM ユーザーまたはロールにアタッチするか、リソースベースのポリシーをアカウント内リソースにアタッチする必要があります。詳細については、「*IAM ユーザーガイド*」の「[アイデンティティベースおよびリソースベースのポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)」を参照してください。

[有効なアクセス許可](#rcp-effects-on-permissions)とは、RCP および[サービスコントロールポリシー (SCP)](orgs_manage_policies_scps.md) によって許可される内容と、アイデンティティベースおよびリソースベースのポリシーによって許可されるアクセスの間の論理的な交点のことです。

**RCP は管理アカウントのリソースには影響しない**  
RCP は管理アカウントのリソースには影響しません。RCP は、組織内のメンバーアカウントのリソースにのみ影響を与えます。これは、RCP が委任管理者として指定されたメンバーアカウントに適用されることも意味します。

****このページのトピック****
+ [RCPs AWS のサービス をサポートする のリスト](#rcp-supported-services)
+ [RCP の効果をテストする](#rcp-warning-testing-effect)
+ [RCP の上限サイズ](#rcp-size-limit)
+ [RCP を組織内のさまざまなレベルにアタッチする](#rcp-about-inheritance)
+ [アクセス許可における RCP 効果](#rcp-effects-on-permissions)
+ [RCP によって制限されないリソースとエンティティ](#actions-not-restricted-by-rcps)
+ [RCP 評価](orgs_manage_policies_rcps_evaluation.md)
+ [RCP 構文](orgs_manage_policies_rcps_syntax.md)
+ [リソースコントロールポリシーの例](orgs_manage_policies_rcps_examples.md)

## RCPs AWS のサービス をサポートする のリスト
<a name="rcp-supported-services"></a>

RCPs、以下のアクションに適用されます AWS のサービス。
+ [Amazon S3](https://docs.aws.amazon.com/s3)
+ [AWS Security Token Service](https://docs.aws.amazon.com/iam)
+ [AWS Key Management Service](https://docs.aws.amazon.com/kms)
+ [Amazon SQS](https://docs.aws.amazon.com/sqs)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager)
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito)
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/cloudwatch)
+ [Amazon DynamoDB](https://docs.aws.amazon.com/dynamodb)
+ [AWS AppConfig](https://docs.aws.amazon.com/appconfig)
+ [Amazon AppStream](https://docs.aws.amazon.com/appstream)
+ [Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling)
+ [AWS CodeBuild](https://docs.aws.amazon.com/codebuild)
+ [AWS CodeCommit](https://docs.aws.amazon.com/codecommit)
+ [Amazon Comprehend](https://docs.aws.amazon.com/comprehend)
+ [Amazon Comprehend Medical](https://docs.aws.amazon.com/comprehendmedical)
+ [DynamoDB Accelerator](https://docs.aws.amazon.com/dax)
+ [Amazon Elastic Container Registry](https://docs.aws.amazon.com/ecr)
+ [AWS Health](https://docs.aws.amazon.com/health)
+ [Amazon Kinesis Video Streams](https://docs.aws.amazon.com/kinesisvideo)
+ [Amazon OpenSearch Serverless](https://docs.aws.amazon.com/opensearch-service)
+ [AWS サポート](https://docs.aws.amazon.com/support)
+ [Amazon Textract](https://docs.aws.amazon.com/textract)
+ [Amazon Transcribe](https://docs.aws.amazon.com/transcribe)
+ [Amazon Translate](https://docs.aws.amazon.com/translate)

## RCP の効果をテストする
<a name="rcp-warning-testing-effect"></a>

AWS では、ポリシーがアカウントのリソースに与える影響を徹底的にテストすることなく、RCPs を組織のルートにアタッチしないことを強くお勧めします。まず、個々のテストアカウントに RCP をアタッチし、次に階層の下位にある OU に移動してから、必要に応じて組織構造を上へと進めていくことができます。影響を判断する 1 つの方法は、アクセス拒否エラーの AWS CloudTrail ログを確認することです。

## RCP の上限サイズ
<a name="rcp-size-limit"></a>

RCP 内のすべての文字は、その[上限サイズ](orgs_reference_limits.md#min-max-values)に対してカウントされます。このガイドの例では、読みやすさを向上させるため、空白文字を追加してフォーマットされた RCP を示しています。ただし、ポリシーサイズが上限サイズに近づいている場合は、スペースを節約するために、引用符の外側にあるすべての空白文字 (スペースや改行など) を削除できます。

**ヒント**  
RCP の構築にはビジュアルエディタを使用します。これによって、よけいな空白が自動的に削除されます。

## RCP を組織内のさまざまなレベルにアタッチする
<a name="rcp-about-inheritance"></a>

RCP は個々のアカウント、OU、または組織のルートに直接アタッチできます。RCP の動作の詳細な説明については、「[RCP 評価](orgs_manage_policies_rcps_evaluation.md)」を参照してください。

## アクセス許可における RCP 効果
<a name="rcp-effects-on-permissions"></a>

RCPsは AWS Identity and Access Management (IAM) ポリシーの一種です。[リソースベースのポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)と最も密接に関連しています。ただし、RCP はアクセス権限を一切付与しません。RCP は、組織内のリソースに対するアクセス許可の上限を指定するアクセスコントロールです。詳細については、「* IAM ユーザーガイド*」の「[ポリシーの評価論理](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
+ RCPs、 のサブセットのリソースに適用されます AWS のサービス。詳細については、「[RCPs AWS のサービス をサポートする のリスト](#rcp-supported-services)」を参照してください。
+ RCP は、RCP をアタッチした組織の一部であるアカウントによって管理される***リソースにのみ影響***します。組織外のアカウントからのリソースには影響しません。組織内のアカウント A が所有する Amazon S3 バケットについて考えてみましょう。このバケットポリシー (リソースベースのポリシー) では、組織外のアカウント B のユーザーにアクセスが付与されています。アカウント A には RCP がアタッチされています。この RCP は、アカウント B のユーザーがアクセスした場合でも、アカウント A の S3 バケットに適用されます。ただし、この RCP はアカウント A のユーザーがアクセスした場合、アカウント B のリソースには適用されません。
+ RCP は、メンバーアカウント内のリソースに対するアクセス許可を制限します。アカウントのすべてのリソースは、その上位の***すべての***親から許可された権限のみを有します。アクセス許可がアカウントの上位のいずれかのレベルでブロックされている場合、影響を受けるアカウントのリソースはそのアクセス許可を持ちません。リソース所有者が任意のユーザーにフルアクセスを許可するリソースベースのポリシーをアタッチしたとしても同じです。
+ RCP は、オペレーションリクエストの一部として承認されたリソースに適用されます。これらのリソースは、[サービス認可リファレンス](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html#actions_table)のアクションテーブルの [リソースタイプ] 列にあります。リソースが [リソースタイプ] 列で指定されている場合、呼び出しプリンシパルアカウントの RCP が適用されます。例えば、`s3:GetObject` はオブジェクトリソースを承認します。`GetObject` リクエストが行われるたびに、該当する RCP が適用され、リクエスト元のプリンシパルが `GetObject` オペレーションを呼び出すことができるかどうかが判断されます。*該当する RCP* とは、アカウント、組織単位 (OU)、またはアクセスされるリソースを所有する組織のルートにアタッチされた RCP です。
+ RCP は、組織内の***メンバー***アカウントのリソースのみに影響します。管理アカウントのリソースには影響しません。これは、RCP が委任管理者として指定されたメンバーアカウントに適用されることも意味します。詳細については、「[管理アカウントのベストプラクティス](orgs_best-practices_mgmt-acct.md)」を参照してください。
+ プリンシパルが RCP がアタッチされたアカウント内のリソース (該当する RCP を持つリソース) へのアクセスをリクエストすると、RCP がポリシー評価ロジックに含まれ、プリンシパルでアクセスを許可するか拒否するかが判断されます。
+ RCP は、プリンシパルが同じ組織に属しているかどうかにかかわらず、該当する RCP を持つメンバーアカウント内のリソースにアクセスしようとするプリンシパルの有効なアクセス許可に影響を与えます。これにはルートユーザーが含まれます。例外は、プリンシパルがサービスにリンクされたロールである場合です。これは RCP がサービスにリンクされたロールからの呼び出しには適用されないからです。サービスにリンクされたロールにより AWS のサービス 、 はユーザーに代わって必要なアクションを実行でき、RCPs によって制限することはできません。
+ ユーザーとロールには、アイデンティティベースのポリシーやリソースベースのポリシーなど、適切な IAM アクセス許可ポリシーを使用して、アクセス許可を引き続き付与する必要があります。IAM アクセス許可ポリシーのないユーザーやロールはアクセス権を持ちません。該当する RCP がすべてのサービス、すべてのアクション、すべてのリソースを許可する場合でもです。

## RCP によって制限されないリソースとエンティティ
<a name="actions-not-restricted-by-rcps"></a>

RCP を使用して以下を制限することは***できません***。
+ 管理アカウントのリソースに対するすべてのアクション。
+ RCP は、サービスにリンクされたロールの有効なアクセス許可には一切影響しません。サービスにリンクされたロールは、 AWS サービスに直接リンクされた一意のタイプの IAM ロールであり、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれます。サービスにリンクされたロールのアクセス許可を RCP で制限することはできません。RCPs AWS 、サービスにリンクされたロールを引き受けるサービスの能力にも影響しません。つまり、サービスにリンクされたロールの信頼ポリシーも RCPs の影響を受けません。
+ RCPsは [AWS マネージドキー for AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)には適用されません。 AWS マネージドキー はユーザーに代わって によって作成、管理、使用されます AWS のサービス。アクセス許可を変更または管理することはできません。
+ RCP は次のアクセス許可に影響しません。  
****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_rcps.html)