AWS リソースへのアクセスを一元的に制限するリソースコントロールポリシー (RCP) の導入
AWS は、AWS 環境全体でデータ境界を一元的に確立するのに役立つリソースコントロールポリシー (RCP) を AWS Organizations で発表いたします。RCP を使用すると、お客様の AWS リソースへの外部アクセスを大規模に一元的に制限できます。リリース時に、RCP は次の AWS サービスのリソースに適用されます: Amazon Simple Storage Service (Amazon S3)、AWS Security Token Service、AWS Key Management Service、Amazon Simple Queue Service、AWS Secrets Manager。
RCP は、組織内の AWS リソースに対する予防的制御を一元的に作成して適用するために使用できる組織ポリシーの一種です。RCP を使用すると、AWS でワークロードをスケーリングする際に、AWS リソースに使用可能な最大の許可を一元的に設定できます。例えば、RCP は、個々のバケットポリシーを通じて付与された許可にかかわらず、「組織外のいかなるプリンシパルも、組織内の Amazon S3 バケットにアクセスできない」という要件を強制適用するのに役立ちます。RCP は、既存のタイプの組織ポリシーであるサービスコントロールポリシー (SCP) を補完します。SCP は組織内の IAM ロールとユーザーの最大許可を一元管理するのに対し、RCP は組織内の AWS リソースに対する最大許可を一元管理します。
AWS IAM Access Analyzer を使用して外部アクセスを特定するお客様は、RCP がリソースのアクセス許可に与える影響を確認できます。RCP をサポートする AWS サービスの最新リストについては、RCP をサポートするサービスのリストを参照してください。RCP はすべての AWS 商用リージョンで利用できます。詳細は、RCP ドキュメントをご覧ください。