View a markdown version of this page

効果的な宣言ポリシーの表示 - AWS Organizations
>有効なポリシーとは有効なポリシーの表示方法

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

効果的な宣言ポリシーの表示

組織内のアカウントの有効な宣言ポリシーを決定します。

効果的な宣言ポリシーとは

有効なポリシーは、宣言ポリシータイプの AWS アカウント に適用される最終ルールを指定します。これは、アカウントが継承する宣言ポリシーと、アカウントに直接アタッチされるその宣言ポリシータイプのポリシーの集約です。宣言ポリシーを組織のルートにアタッチすると、組織内のすべてのアカウントに適用されます。宣言ポリシーを組織単位 (OU) にアタッチすると、OUs に属するすべてのアカウントと OU に適用されます。宣言ポリシーをアカウントに直接アタッチすると、そのポリシーにのみ適用されます AWS アカウント。

複数のポリシーが集約され、最終的に有効なポリシーが構成される仕組みについては、宣言型ポリシーの継承について を参照してください。

バックアップポリシーの例

組織のルートにアタッチされたバックアップポリシーでは、組織内のすべてのアカウントが、デフォルトのバックアップ頻度 (週に 1 回) ですべての Amazon DynamoDB テーブルをバックアップするように指定できます。テーブル内の重要な情報を持つ 1 つのメンバーアカウントに直接アタッチされた個別のバックアップポリシーは、1 日に 1 回の値で頻度を上書きできます。これらのバックアップポリシーの組み合わせは、有効なバックアップポリシーで構成されます。有効なバックアップポリシーは、組織内のアカウントごとに個別に決定されます。この例では、例外的に毎日テーブルをバックアップする 1 つのアカウントを除き、組織内のすべてのアカウントが 1 週間に 1 回ずつ DynamoDB テーブルをバックアップします。

タグポリシーの例

組織ルートにアタッチされたタグポリシーで、4 つの準拠値を持つ CostCenter タグを定義するとします。この場合、アカウントにアタッチされた別のタグポリシーで、 CostCenter キーを 4 つの準拠値のうち 2 つだけに制限できます。これらのタグポリシーを組み合わせることにより、有効なタグポリシーが構成されます。その結果、組織ルートのタグポリシーで定義されている 4 つの準拠タグ値のうち 2 つだけがアカウントで準拠することになります。

チャットアプリケーションポリシーの例

チャットアプリケーションの Amazon Q Developer は、チャットアプリケーション内に以前に作成した Amazon Q Developer の設定を有効なチャットアプリケーションポリシーと照らし合わせて再評価し、有効なポリシーで許可されている設定およびガードレールと一致している場合は、以前に許可されていたアクションを拒否します。メンバーアカウントの有効なポリシーは、許可された設定とガードレールを定義します。例えば、パブリック Slack チャネルへのアクセスを拒否するチャットアプリケーションポリシーがメンバーアカウントに適用される場合、メンバーアカウントのパブリック Slack チャネルに対するチャットアプリケーションの既存の Amazon Q Developer の設定は無効になります。チャットアプリケーションの Amazon Q Developer は通知を配信しなくなり、チャンネルメンバーはブロックされたチャンネルでタスクを実行できなくなります。チャットアプリケーションコンソール内の Amazon Q Developer は、影響を受けるチャネルを無効としてマークし、その横に適切なエラーメッセージを表示します。

AI サービスのオプトアウトの例

組織ルートにアタッチされた AI サービスのオプトアウトポリシーでは、組織内のすべてのアカウントがすべての AWS 機械学習サービスによるコンテンツの使用をオプトアウトするように指定できます。一方、あるメンバーアカウントに直接アタッチされた別の AI サービスのオプトアウトポリシーでは、Amazon Rekognition によるコンテンツの使用だけはオプトインするよう指定されています。これらの AI サービスのオプトアウトポリシーが組み合わされ、有効な AI サービスのオプトアウトポリシーが構成されます。その結果、組織内のすべてのアカウントは、Amazon Rekognition にオプトインする 1 つのアカウントを除き AWS のサービス、すべてオプトアウトされます。

有効な宣言ポリシーを表示する方法

アカウントの宣言ポリシータイプの有効なポリシーは AWS マネジメントコンソール、、 AWS API、または から表示できます AWS Command Line Interface。

最小アクセス許可

アカウントの宣言ポリシータイプの有効なポリシーを表示するには、次のアクションを実行するアクセス許可が必要です。

  • organizations:DescribeEffectivePolicy

  • organizations:DescribeOrganization - Organizations コンソールを使用する場合にのみ必要

AWS マネジメントコンソール
アカウントの宣言ポリシータイプの有効なポリシーを表示するには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。

  2. AWS アカウントページで、有効なタグポリシーを表示するアカウントの名前を選択します。場合によっては、目的のアカウントを見つけるには OU を展開 ( Gray cloud icon representing cloud computing or storage services. を選択) する必要があります。

  3. ポリシータブで、有効なポリシーを表示する宣言ポリシータイプを選択します。

  4. [この AWS アカウントの有効なポリシーの表示] を選択します。

    指定したアカウントに適用されている有効なポリシーがコンソールに表示されます。

    注記

    有効なポリシーをコピーして貼り付けて、大きな変更を加えずに別のポリシーの JSON として使用することはできません。ポリシードキュメントには、各設定を最終的な有効なポリシーにマージする方法を指定する継承演算子を含める必要があります。

AWS CLI & AWS SDKs
アカウントの宣言ポリシータイプの有効なポリシーを表示するには

次のいずれかの方法を使用して、有効なポリシーを表示できます。

  • AWS CLI: describe-effective-policy

    次の例は、アカウントの有効な AI サービスのオプトアウトポリシーを示しています。

    $ aws organizations describe-effective-policy \
    --policy-type AISERVICES_OPT_OUT_POLICY \
    --target-id 123456789012
{
    "EffectivePolicy": {
        "PolicyContent": "{\"services\":{\"comprehend\":{\"opt_out_policy\":\"optOut\"},   ....TRUNCATED FOR BREVITY....   "opt_out_policy\":\"optIn\"}}}",
        "LastUpdatedTimestamp": "2020-12-09T12:58:53.548000-08:00",
        "TargetId": "123456789012",
        "PolicyType": "AISERVICES_OPT_OUT_POLICY"
    }
}

  • AWS SDKs: DescribeEffectivePolicy

有効なポリシーが無効になる可能性がある状況の詳細については、「Viewing invalid policy alerts」を参照してください。