AWS Control Tower リソースに対するアクセス許可の管理の概要

AWS すべてのリソースはが所有しており AWS アカウント、リソースを作成したり、リソースにアクセスしたりする権限にはアクセス権限ポリシーが適用されます。アカウント管理者は、IAM アイデンティティ (つまり、ユーザー、グループ、ロール) に許可ポリシーをアタッチできます。一部のサービス (など AWS Lambda) では、リソースにアクセス権限ポリシーをアタッチすることもできます。

注記

アカウント管理者 (または管理者) は、管理者権限を持つユーザーです。詳細については、「IAM ユーザーガイド」の「IAM のベストプラクティス」を参照してください。

ユーザーまたはロールに権限を付与する責任を負う場合は、権限を必要とするユーザーとロール、各ユーザーとロールが権限を必要とするリソース、およびそれらのリソースを操作するために許可する必要のある特定のアクションを把握して追跡する必要があります。

トピック

• AWS Control Tower のリソースとオペレーション
• リソース所有権について
• リソースへのアクセスの管理
• ポリシー要素を指定: アクション、効果、プリンシパル
• ポリシーでの条件の指定

AWS Control Tower のリソースとオペレーション

AWS Control Tower では、プライマリリソースはランディングゾーンです。AWS Control Tower では、追加のリソースタイプ、コントロール (ガードレールと呼ばれることもあります) もサポートされています。ただし、AWS Control Tower では、既存のランディングゾーンのコンテキストでのみコントロールを管理できます。コントロールはサブリソースと呼ぶことができます。

AWS 内のリソースとサブリソースには、次の例のように固有の Amazon リソースネーム (ARN) が関連付けられています。

リソースタイプ	ARN 形式
ファイルシステム	arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

AWS Control Tower には、AWS Control Tower リソースと連携するための一連の API オペレーションが用意されています。利用可能なオペレーションのリストについては、「AWS Control Tower API リファレンス」の「AWS Control Tower」を参照してください。

AWS Control Tower AWS CloudFormation のリソースの詳細については、AWS CloudFormation ユーザーガイドを参照してください。

リソース所有権について

AWS 誰がリソースを作成したかにかかわらず、アカウントはアカウントで作成されたリソースを所有します。具体的には、リソース所有者は、リソース作成リクエストを認証するプリンシパルエンティティ (つまり、 AWS アカウント ルートユーザー、IAM Identity Center ユーザー、IAM ユーザー、または IAM ロール) AWS のアカウントです。次の例は、この仕組みを示しています。

• AWS アカウントのルートユーザー認証情報を使用してlanding zone を設定すると、 AWS そのアカウントがリソースの所有者になります。 AWS

• AWS アカウントに IAM ユーザーを作成し、そのユーザーにlanding zone を設定する権限を付与した場合、そのユーザーは、アカウントが前提条件を満たしている限り、landing zone を設定できます。ただし、 AWS ユーザーが属するアカウントは、landing zone リソースを所有しています。

• landing zone を設定する権限を持つ IAM AWS ロールをアカウントに作成すると、そのロールを引き受けることができる人なら誰でもlanding zone を設定できます。ロールが属する AWS アカウントは、ランディングゾーンリソースを所有します。

ポリシー要素を指定: アクション、効果、プリンシパル

AWS Control Tower コンソール、またはランディングゾーン API を使用して、ランディングゾーンを設定および管理できます。ランディングゾーンを設定するには、IAM ポリシーで定義された管理者権限を持つ IAM ユーザーである必要があります。

ポリシーで識別できる最も基本的な要素は次の通りです。

• リソース– ポリシーで Amazon リソースネーム (ARN) を使用して、ポリシーを適用するリソースを識別します。詳細については、「AWS Control Tower のリソースとオペレーション」を参照してください。

• アクション - アクションのキーワードを使用して、許可または拒否するリソースオペレーションを識別します。実行可能なアクションのタイプについては、「AWS Control Tower で定義されたアクション」を参照してください。

• 効果 – ユーザーが特定のアクションを要求する際の効果を指定します。許可または拒否のいずれかになります。リソースへのアクセスを明示的に付与 (許可) していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。

• Principal – ID ベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、権限 (リソースベースのポリシーにのみ適用) を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。AWS Control Tower では、リソースベースのポリシーはサポートされていません。

IAM ポリシーの構文と記述の詳細については、「IAM ユーザーガイド」の「AWS IAM ポリシーリファレンス」を参照してください。

ポリシーでの条件の指定

許可を付与するとき、IAM ポリシー言語を使用して、ポリシーが有効になる必要がある条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「IAM ユーザーガイド」の「条件」を参照してください。

条件を表すには、あらかじめ定義された条件キーを使用します。AWS Control Tower に固有の条件キーはありません。ただし、必要に応じて使用できる AWS-wide の条件キーもあります。 AWS-wide キーの完全なリストについては、IAM ユーザーガイドの「条件に使用できるキー」を参照してください。