のサービスコントロールポリシーの例 AWS Trusted Advisor - AWS サポート
前提条件サービスコントロールポリシーの例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のサービスコントロールポリシーの例 AWS Trusted Advisor

AWS Trusted Advisor は、サービスコントロールポリシー (SCPsをサポートしています。SCP は、組織内のアクセス許可を管理する目的で組織内の要素にアタッチされるポリシーです。SCP は、SCP をアタッチする 要素のすべての AWS アカウントに適用されます。SCP では、組織のすべてのアカウントで使用可能な最大アクセス許可を一元的に制御できます。これらは、 AWS アカウントが組織のアクセスコントロールガイドラインの範囲内に収まるようにするのに役立ちます。詳細については、「AWS Organizations ユーザーガイド」の「サービスコントロールポリシー」を参照してください。

前提条件

SCP を使用するには、まず以下のことをする必要があります。

  • 組織内のすべての機能の有効化。詳細については、「AWS Organizations ユーザーガイド」の「組織内のすべての機能の有効化」を参照してください。

  • SCP を有効にして組織内で使用できるようにするには 詳細については、「AWS Organizations ユーザーガイド」の「What is AWS Organizations?」を参照してください。

  • 必要な SCP を作成します。SCP の作成の詳細については、「AWS Organizations ユーザーガイド」の「Creating organization policies with AWS Organizations」を参照してください。

サービスコントロールポリシーの例

以下の例では、組織内のリソース共有のさまざまな側面を制御する方法を説明します。

例: ユーザーが Trusted Advisor Engage でエンゲージメントを作成または編集できないようにする

次の SCP により、ユーザーは新しいエンゲージメントを作成したり、既存のエンゲージメントを編集したりできなくなります。

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "trustedadvisor:CreateEngagement",
        "trustedadvisor:UpdateEngagement*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
例: Trusted Advisor Engage と Trusted Advisor Priority Access を拒否する

次の SCP は、ユーザーが Trusted Advisor Engage および Trusted Advisor Priority 内のアクションにアクセスしたりアクションを実行したりできないようにします。

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "trustedadvisor:ListEngagement*",
        "trustedadvisor:GetEngagement*",
        "trustedadvisor:CreateEngagement*",
        "trustedadvisor:UpdateEngagement*",
        "trustedadvisor:DescribeRisk*",
        "trustedadvisor:UpdateRisk*",
        "trustedadvisor:DownloadRisk"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}