を使用してリソースベースの委任ポリシーを作成する AWS Organizations - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用してリソースベースの委任ポリシーを作成する AWS Organizations

管理アカウントから、組織のリソースベースの委任ポリシーを作成し、ポリシーに対してアクションを実行できるメンバーアカウントを指定するステートメントを追加します。ポリシーに複数のステートメントを追加して、メンバーアカウントにさまざまなアクセス許可を示すことができます。

最小アクセス許可

リソースベースの委任ポリシーを作成するには、次のアクションを実行するアクセス許可が必要です。

  • organizations:PutResourcePolicy

  • organizations:DescribeResourcePolicy

また、必要なアクションに対応する IAM アクセス許可を委任された管理者アカウントのロールとユーザーに付与する必要があります。IAM アクセス許可がない場合、呼び出し元のプリンシパルには AWS Organizations ポリシーを管理するために必要なアクセス許可がないと見なされます。

AWS Management Console

次のいずれかの方法を使用して、 AWS Management Console のリソースベースの委任ポリシーにステートメントを追加します。

  • JSON ポリシー – リソースベースの委任ポリシーの例を貼り付けてカスタマイズしてアカウントで使用するか、JSON エディタでの独自の JSON ポリシードキュメントを入力します。

  • ビジュアルエディタ — ビジュアルエディタで新しい委任ポリシーを作成します。これにより、JSON 構文を記述せずに委任ポリシーを作成できます。

JSON ポリシーエディタを使用して委任ポリシーを作成する

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー (非推奨) としてサインインする必要があります。

  2. [設定] を選択します。

  3. [ AWS Organizations の委任管理者]セクションで、[委任] を選択して Organizations 委任ポリシーを作成します。

  4. JSON ポリシードキュメントを入力します。IAM ポリシー言語の詳細については、 「IAM JSON ポリシーリファレンス」を参照してください。

  5. ポリシーの検証中に生成されたセキュリティ警告、エラー、または一般的な警告を解決し、[Create policy] (ポリシーの作成) を選択して作業を保存します。

ビジュアルエディタを使用して、委任ポリシーを作成する

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー (非推奨) としてサインインする必要があります。

  2. [設定] を選択します。

  3. [ AWS Organizations の委任管理者]セクションで、[委任] を選択して Organizations 委任ポリシーを作成します。

  4. [Create Delegation policy] (委任ポリシーの作成) ページで、[Add new statement] (新しいステートメントを追加)を選択します。

  5. [Effect] (効果) を Allow に設定します。

  6. Principal を追加して委任したいメンバーアカウントを定義します。

  7. [Actions] (アクション) のリストから、委任するアクションを選択します。[Filter actions] (アクションのフィルタ)を使用して選択を絞り込むことができます。

  8. 委任されたメンバーアカウントが組織ルートまたは組織単位 (OU) にポリシーをアタッチできるかどうかを指定するには、Resources を設定します。また、リソースタイプとして policy を選択する必要があります。リソースは次の方法で指定できます。

    • [Add a resource] (リソースの追加) を選択し、ダイアログボックスのプロンプトに従って Amazon リソースネーム (ARN) を作成します。

    • エディタでリソース ARN を手動で一覧表示します。ARN 構文の詳細については、「 AWS 全般のリファレンスガイド」の「Amazon リソースネーム (ARN)」を参照してください。ポリシーのリソース要素で ARN を使用する方法については、「IAM JSON ポリシー要素: Resource」を参照してください。

  9. 委任するポリシータイプなど、他の条件を指定するには、[Add a condition] (条件の追加) を選択します。条件の [Condition key] (条件キー)、[Tag key] (タグキー)、[Qualifier] (修飾子)、[Operator] (演算子) を選択し、Value を入力します。完了したら、[Add condition] (条件の追加) を選択します。条件要素の詳細については、「IAM JSON ポリシーリファレンス」の「IAM JSON ポリシーの要素: 条件」を参照してください。

  10. さらにアクセス許可ブロックを追加するには、[Add new statement] (新しいステートメントを追加) を選択します。各ブロックに対して、ステップ 5 から 9 を繰り返します。

  11. ポリシーの検証で生成されたセキュリティ警告、エラー、または一般的な警告を解決し、[Create policy] (ポリシーの作成) を選択して作業を保存します。

AWS CLI & AWS SDKs
委任ポリシーを作成する

以下のコマンドを使用して委任ポリシーを作成できます。

  • AWS CLI: put-resource-policy

    以下は、委任ポリシーを作成する例です。

    $ aws organizations put-resource-policy --content
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Fully_manage_backup_policies",
            "Effect": "Allow",
            "Principal": {
                "AWS": "135791357913"
            },
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:CreatePolicy",
                "organizations:DescribePolicy",
                "organizations:UpdatePolicy",
                "organizations:DeletePolicy",
                "organizations:AttachPolicy",
                "organizations:DetachPolicy"
            ],
            "Resource": [
                "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                "arn:aws:organizations::246802468024:account/o-abcdef/*",
                "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
            ],
            "Condition": {
                "StringLikeIfExists": {
                    "organizations:PolicyType": [
                        "BACKUP_POLICY"
                    ]
                }
            }
        }
    ]
}
サポート対象の委任ポリシーのアクション

委任ポリシーでは、次のアクションがサポートされています。

  • AttachPolicy

  • CreatePolicy

  • DeletePolicy

  • DescribeAccount

  • DescribeCreateAccountStatus

  • DescribeEffectivePolicy

  • DescribeHandshake

  • DescribeOrganization

  • DescribeOrganizationalUnit

  • DescribePolicy

  • DescribeResourcePolicy

  • DetachPolicy

  • DisablePolicyType

  • EnablePolicyType

  • ListAccounts

  • ListAccountsForParent

  • ListAWSServiceAccessForOrganization

  • ListChildren

  • ListCreateAccountStatus

  • ListDelegatedAdministrators

  • ListDelegatedServicesForAccount

  • ListHandshakesForAccount

  • ListHandshakesForOrganization

  • ListOrganizationalUnitsForParent

  • ListParents

  • ListPolicies

  • ListPoliciesForTarget

  • ListRoots

  • ListTagsForResource

  • ListTargetsForPolicy

  • TagResource

  • UntagResource

  • UpdatePolicy

サポートされている条件キー

委任ポリシーに使用できるのは AWS Organizations 、 でサポートされている条件キーのみです。詳細については、「Service Authorization Reference」の「Condition keys for AWS Organizations」を参照してください。