翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
リソースコントロールポリシーの例
このトピックで表示されているサービスコントロールポリシー (SCP) の例は、情報提供のみを目的としています。
これらの例を使用する前に
組織でこれらの RCPsの例を使用する前に、次の点を考慮してください。
-
リソースコントロールポリシー (RCPs) は、粗粒度の予防的コントロールとして使用することを目的としており、アクセスを許可しません。実際にアクセス許可を付与するには、アイデンティティベースまたはリソースベースのポリシーをアカウントの IAM プリンシパルまたはリソースにアタッチする必要があります。有効なアクセス許可は、SCP/RCP と ID ポリシー、または SCP/RCP とリソースポリシーの間の論理的な共通部分です。アクセス許可に対する RCP 効果の詳細については、こちらを参照してください。
-
このリポジトリのリソースコントロールポリシーを例に示します。ポリシーがアカウントのリソースに与える影響を徹底的にテストせずに、RCPs をアタッチしないでください。実装するポリシーの準備ができたら、本番環境を表す別の組織または OU でテストすることをお勧めします。テストが完了したら、変更をデプロイして OUs、時間の経過とともにより広範な OUs セットに変更を段階的にデプロイする必要があります。
-
RCPFullAWSAccess
ポリシーは、リソースコントロールポリシー (RCPs。このデフォルトの RCP では、すべてのプリンシパルとアクションのアクセスが RCP 評価を通過できます。Deny ステートメントを使用して、組織内のリソースへのアクセスを制限できます。また、アイデンティティベースまたはリソースベースのポリシーを使用して、プリンシパルに適切なアクセス許可を付与する必要もあります。 -
リソースコントロールポリシー (RCP) は、組織ルート、組織単位、または アカウントにアタッチされると、組織、組織単位、または アカウント内のリソースに対して使用可能なアクセス許可の最大数を一元的に制御できます。RCP は組織内の複数のレベルで適用できるため、RCPsの評価方法を理解することで、期待される結果をもたらす RCPs を作成するのに役立ちます。
このセクションのポリシーの例では、RCP の実装と使用について説明します。これらの例は、公式な AWS 推奨事項やベストプラクティスとして解釈されることを意図したものではありません。ポリシーが、お客様の環境のビジネス要件を解決するために適切であるかどうかを慎重にテストする責任はお客様にあります。拒否ベースのリソースコントロールポリシーは、ポリシーに必要な例外を追加しない限り、 AWS サービスの使用を意図せずに制限またはブロックする可能性があります。
ヒント
RCPs を実装する前に、AWS CloudTrail ログ
GitHub リポジトリ
-
リソースコントロールポリシーの例
- この GitHub リポジトリには、 AWS RCPs の使用を開始または成熟させるためのポリシーの例が含まれています。
