AWSは、AWS Organizationsにおける新しいタイプの認証ポリシーであるリソース制御ポリシー(RCP)を発表しました。RCPは、組織全体のリソースに対するアクセス許可を中央で制限することを可能にし、外部ユーザーに対しても、許可的なポリシーよりも優先される予防的な制御によってセキュリティを強化します。RCPは、サービス制御ポリシー(SCP)を補完し、独立して機能します。SCPはプリンシパルに付与されるアクセス許可を制限しますが、RCPはリソースに付与されるアクセス許可を制限します。たとえば、組織はRCPを使用してAmazon S3バケットへのアクセスを制限し、組織に属するプリンシパルのみがアクセスできるようにすることができます。RCPは、誰がAPIリクエストを行っているかに関係なく、リソースにアクセスされるときに評価されます。SCPもRCPもアクセス許可を付与しないことに注意することが重要です。これらは、組織内のプリンシパルとリソースに使用可能な最大アクセス許可を設定するだけです。適切なIAMポリシー(IDベースまたはリソースベースのポリシーなど)でアクセス許可を付与する必要があります。RCPは、AWSのリソースへのアクセスを制御するための強力なツールであり、組織のセキュリティ体制の改善に役立ちます。