AWS Sign-in がリソースベースポリシーとリソース制御ポリシーに対応
スライド
サマリ
AWS Sign-in がリソースベースポリシーとリソース制御ポリシーに対応
AWS Sign-in now supports resource-based policies and resource control policies
カテゴリ: What's New 公開日: 2026-06-16 元記事: AWS What's New
このページでは、AWS What's Newで発表された「AWS Sign-in now supports resource-based policies and resource control policies」の内容を日本語で要約し、スライド形式で確認できます。
要約
AWS Sign-inがリソースベースのポリシーおよびリソース制御ポリシーに対応し、コンソールサインインをネットワークレベルで制限できるようになりました。これにより、組織全体のセキュリティ体制を強化し、アカウントアクセスをより細かく制御することが可能になります。
このアップデートで何が変わったか
リソースベースポリシーとリソース制御ポリシーの対応
- AWS Sign-inがリソースベースのポリシーおよびリソース制御ポリシー(RCP)をサポート
- AWS Management Consoleへのコンソールサインインを期待されるネットワークのみに制限可能
- ポリシーはサインイン時およびコンソールセッションが新しい認証情報をリクエストするたびに評価
ポリシーの適用範囲
- リソースベースポリシー: 個別のAWSアカウントに適用
- リソース制御ポリシー(RCP): AWS Organizations経由で組織全体に適用
- 連携機能: AWS Management Console Private Accessと組み合わせて使用可能
制御範囲の拡大
- ユーザーがサインインできるネットワークを制御
- ユーザーがアクセスできるアカウントを制御
- この機能はすべてのAWSコマーシャルリージョンで追加費用なしで利用可能
対象ユーザー
セキュリティ要件が高い組織
- 金融機関や医療機関などの規制対象業種
- コンプライアンス要件に基づくネットワークレベルの制限が必要
- 複数アカウントのセキュリティポリシーを一元管理したい企業
AWS Organizations 利用企業
- マルチアカウント環境を管理している組織
- 親会社のセキュリティポリシーを配下のすべてのアカウントに適用したい企業
- リモートワークでのアクセス管理を厳格に制御したい組織
詳細
AWS Sign-in の新機能
AWS Sign-inがリソースベースのポリシーおよびリソース制御ポリシー(RCP)をサポートするようになりました。これにより、組織のセキュリティポリシーをより細かく制御できます。
ネットワークレベルでのアクセス制限
AWS Management Consoleへのコンソールサインインを期待されるネットワークのみに制限することができます。ユーザーが社内ネットワークやVPNを経由してサインインしている場合のみアクセスを許可し、それ以外のネットワークからのアクセスはブロックできます。
継続的なポリシー評価
ポリシーはサインイン時およびコンソールセッションが新しい認証情報をリクエストするたびに評価されます。セッション中でも常に最新のセキュリティルールが適用されるため、より強力なセキュリティ体制を実現できます。
組織レベルでのポリシー適用
リソースベースのポリシーは個別のAWSアカウントに適用されます。一方、リソース制御ポリシーはAWS Organizations経由で組織全体に適用されるため、複数アカウントのセキュリティポリシーを一元管理できます。
既存機能との連携
これらのポリシーはAWS Management Console Private Accessと組み合わせて使用できます。ネットワークレベルとアカウントレベルの両方で制御することにより、より層厚いセキュリティ対策を構築できます。
メリット
セキュリティの強化
- ネットワークとアカウント両レベルでのアクセス制御が可能
- ゼロトラスト・アーキテクチャへの段階的な対応
- コンプライアンス要件への自動的な準拠
運用の効率化
- 追加コストなし: すべてのAWSコマーシャルリージョンで利用可能
- ポリシー管理の一元化: AWS Organizations から統一的に管理
- セッション中の動的なポリシー評価により、最新のセキュリティ要件を常時適用
組織管理の柔軟性
- 個別アカウント単位とオーガナイゼーション単位でのポリシー適用が可能
- 事業要件に応じた細かなアクセス制御
- 組織の成長に伴う柔軟なセキュリティ体制の構築
ユースケース
金融機関の例
金融機関では、コンプライアンス要件に基づき、特定ネットワークからのみコンソールアクセスを許可する必要があります。本機能を使用することで、以下のような制御が可能になります。
- 本社や支店のネットワークからのアクセスのみを許可
- 特定のIPレンジやVPNを経由したアクセスに限定
- 組織内のすべてのAWSアカウントに統一されたポリシーを適用
エンタープライズ組織の例
グループ企業を複数保有するエンタープライズでは、親会社のセキュリティポリシーを配下のすべてのアカウントに適用する必要があります。
- 子会社や事業部のアカウントに対し、親会社のセキュリティポリシーを組織レベルで強制
- リモートワーク環境でのアクセス管理を厳格に制御
- 新規事業の立ち上げ時に自動的にセキュリティポリシーが適用される
マルチアカウント環境の例
本社と支社でそれぞれAWSアカウントを持つ組織では、以下のような制御が実現できます。
- 本社ネットワークからのアクセスのみを許可
- 支社については支社ネットワークからのアクセスのみを許可
- 特定のVPN接続やプライベートネットワークを経由したアクセスに限定
今後のロードマップ
AWS Sign-inのセキュリティ機能は今後も拡張される予定です。ネットワークレベルとアカウントレベルのアクセス制御機能が充実することで、ゼロトラスト・アーキテクチャへの段階的な対応が進むと期待されます。