翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # AWS Organizations サービスコントロールポリシーを使用してアクセスを制限する このトピックでは、 AWS Organizations のサービスコントロールポリシー (SCP) を使用して組織のアカウントのユーザーやロールが実行できる操作を制限する方法を、例を示して説明します。サービスコントロールポリシーの詳細については、 *AWS Organizations ユーザーガイド*の以下のトピックを参照してください。 + [SCP の作成](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html) + [OU およびアカウントに SCP をアタッチする](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) + [SCP についての戦略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_strategies.html) + [SCP ポリシー構文](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_syntax.html) **Example 例 1: アカウントが自分の代替連絡先を変更できないようにする** 次の例は、[スタンドアロンアカウントモード](manage-acct-api-modes-of-operation.md)で `PutAlternateContact` と `DeleteAlternateContact` の操作がどのメンバーアカウントからも呼び出されないようにするものです。これにより、影響を受けるアカウントのプリンシパルが自分の代替連絡先を変更できなくなります。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "account:PutAlternateContact", "account:DeleteAlternateContact" ], "Resource": [ "arn:aws:account::*:account" ] } ] } ``` **Example 例 2: 組織内の他のメンバーアカウントの代替連絡先をメンバーアカウントに変更できないようにする** 次の例では、`Resource` 要素を「\$1」として一般化しており、これは要素が[スタンドアロンモード](manage-acct-api-modes-of-operation.md)と組織モードのリクエストの両方に適用されることを意味します。つまり、アカウント管理についてと委任管理者アカウントでも、SCP が適用されると組織内の任意のアカウントの代替連絡先を変更できなくなります。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "account:PutAlternateContact", "account:DeleteAlternateContact" ], "Resource": [ "*" ] } ] } ``` **Example 例 3: OU のメンバーアカウントが独自の代替連絡先を変更できないようにする** 次の SCP の例には、アカウントの組織パスと 2 つの OU のリストを比較する条件が含まれています。これにより、指定された OU 内の任意のアカウントのプリンシパルが独自の代替連絡先を変更できないようにブロックされます。