翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Control Tower でのアイデンティティベースのポリシー (IAM ポリシー) の使用
このトピックでは、アカウント管理者が ID (ユーザー、グループ、ロール) IAM にアクセス許可ポリシーをアタッチし、それによって AWS Control Tower リソースでオペレーションを実行するアクセス許可を付与する方法を示すアイデンティティベースのポリシーの例を示します。
重要
初めに、AWSControl Tower リソースへのアクセスを管理するための基本概念と使用可能なオプションについて説明する概要トピックを確認することをお勧めします。詳細については、「AWS Control Tower リソースへのアクセス許可の管理の概要」を参照してください。
AWS ControlTowerAdmin ロール
このロールにより、 AWS Control Tower はランディングゾーンの維持に不可欠なインフラストラクチャにアクセスできます。AWS ControlTowerAdmin
ロールには、アタッチされた管理ポリシーとロールのIAMロール信頼ポリシーが必要です。ロール信頼ポリシーは、リソースベースのポリシーで、どのプリンシパルがロールを引き受けることができるかを指定します。
このロールの信頼ポリシーのサンプルスニペットを次に示します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "controltower.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
からこのロールを作成し AWS CLI、 という名前のファイルに入れるにはtrust.json
、 CLI コマンドの例を次に示します。
aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://trust.json
このロールには 2 つのIAMポリシーが必要です。
-
インラインポリシー。次に例を示します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:DescribeAvailabilityZones", "Resource": "*" } ] }
-
次に示すマネージドポリシー。これは
AWS ControlTowerServiceRolePolicy
です。
AWS ControlTowerServiceRolePolicy
AWS ControlTowerServiceRolePolicy は、スタックセット、 CloudFormation スタックインスタンス、 AWS CloudTrail ログファイル、AWSControl Tower の設定アグリゲータ、Control Tower によって管理される AWS Organizations アカウントと組織単位 (OUs) などの AWS AWS Control Tower AWS リソースを作成および管理するためのアクセス許可を定義する AWSマネージドポリシーです。
この管理ポリシーの更新は、表 AWS Control Tower の管理ポリシー にまとめられています。
詳細については、AWS「 マネージドポリシーリファレンスガイドAWSControlTowerServiceRolePolicy
」の「」を参照してください。
ロール信頼ポリシー:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
インラインポリシーは AWSControlTowerAdminPolicy
です。
{ "Version": "2012-10-17", "Statement": [ { "Action": "ec2:DescribeAvailabilityZones", "Resource": "*", "Effect": "Allow" } ] }
AWS ControlTowerStackSetRole
AWS CloudFormation は、AWSControl Tower によって作成されたアカウントにスタックセットをデプロイするために、このロールを引き受けます。インラインポリシー:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ], "Effect": "Allow" } ] }
信頼ポリシー
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AWS ControlTowerCloudTrailRole
AWS Control Tower はベストプラクティス CloudTrail として を有効にし、このロールを に提供します CloudTrail。 は CloudTrail 、ログを作成および発行するためにこのロール CloudTrail を引き受けます。インラインポリシー:
{ "Version": "2012-10-17", "Statement": [ { "Action": "logs:CreateLogStream", "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "Effect": "Allow" }, { "Action": "logs:PutLogEvents", "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "Effect": "Allow" } ] }
信頼ポリシー
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AWSControlTowerBlueprintAccess ロールの要件
AWS Control Tower では、同じ組織内で、指定された設計図ハブアカウントにAWSControlTowerBlueprintAccess
ロールを作成する必要があります。
ロール名
ロールタイプは、AWSControlTowerBlueprintAccess
である必要があります。
ロール信頼ポリシー
ロールは、以下のプリンシパルを信頼するように設定する必要があります。
-
管理アカウントで AWS Control Tower を使用するプリンシパル。
-
管理アカウントの
AWSControlTowerAdmin
ロール。
以下の例は、最小特権の信頼ポリシーを示しています。独自のポリシーを作成するときは、 という用語を AWS Control Tower 管理アカウントの実際のアカウント ID YourManagementAccountId
に置き換え、 YourControlTowerUserRole
という用語を管理アカウントのIAMロールの識別子に置き換えます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::
YourManagementAccountId
:role/service-role/AWSControlTowerAdmin", "arn:aws:iam::YourManagementAccountId
:role/YourControlTowerUserRole
" ] }, "Action": "sts:AssumeRole", "Condition": {} } ] }
ロールのアクセス許可
管理ポリシーをロールAWSServiceCatalogAdminFullAccessにアタッチする必要があります。
AWSServiceRoleForAWSControlTower
このロールは、ドリフトしたリソースの通知など、ランディングゾーンの維持に不可欠なオペレーションのために、ログアーカイブアカウント、監査アカウント、およびメンバーアカウントへのアクセス権を AWS Control Tower に付与します。
AWSServiceRoleForAWSControlTower
ロールには、アタッチされた管理ポリシーとロールのIAMロール信頼ポリシーが必要です。
このロールのマネージドポリシー: AWSControlTowerAccountServiceRolePolicy
ロール信頼ポリシー:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "controltower.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AWSControlTowerAccountServiceRolePolicy
この AWS管理ポリシーにより、AWSControl Tower は自動アカウント設定と一元化されたガバナンスを提供する AWS サービスをユーザーに代わって呼び出すことができます。
このポリシーには、Security Hub サービスマネージドスタンダード: AWS Control Tower の一部である Security Hub コントロールによって管理されるリソースの検出結果転送を実装 AWS Security Hub するための最小限のアクセス許可が含まれており、カスタマーアカウントの管理機能を制限する変更が防止されます。 AWS これはバックグラウンド AWS Security Hub ドリフト検出プロセスの一部であり、お客様が直接開始することはありません。
このポリシーは、各メンバーアカウントで、特に Security Hub コントロール用の Amazon EventBridge ルールを作成するアクセス許可を付与します。これらのルールでは、 を正確に指定する必要があります EventPattern。また、ルールはサービスプリンシパルが管理するルールにのみ適用されます。
サービスプリンシパル: controltower.amazonaws.com
詳細については、AWS 「 マネージドポリシーリファレンスガイドAWSControlTowerAccountServiceRolePolicy
」の「」を参照してください。
この管理ポリシーの更新は、表 AWS Control Tower の管理ポリシー にまとめられています。