による組織ポリシーのアタッチ AWS Organizations

このトピックでは、 AWS Organizationsでポリシーをアタッチする方法について説明します。ポリシーは、グループに適用するコントロールを定義します AWS アカウント。

トピック

ポリシーをアタッチする

でポリシーをアタッチする AWS Organizations

最小アクセス許可

ポリシーをアタッチするには、次のアクションを実行するアクセス認可が必要です。

organizations:AttachPolicy

最小アクセス許可

承認ポリシー (SCP または RCP) をルート、OU、またはアカウントにアタッチするには、次のアクションを実行するアクセス許可が必要です。

特定のポリシーの "*" または Amazon リソースネーム (ARN) を含む同じポリシーステートメントの Resource 要素を持つ organizations:AttachPolicy、およびポリシーをアタッチするルート、OU、またはアカウントの ARN。

Service control policies (SCPs)

SCP をアタッチするには、ポリシーをアタッチするルート、OU、またはアカウントに移動する必要があります。

ルート、OU、またはアカウントに移動して SCP をアタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
AWS アカウント ページで、SCP をアタッチするルート、OU、またはアカウントの横にあるチェックボックスに移動してオンにします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
[Policies] (ポリシー) タブの [Service control policies] (サービスコントロールポリシー) で、[Attach] (アタッチ) を選択します。
目的のポリシーを見つけて [Attach policy] (ポリシーのアタッチ) を選択します。

[Policies] (ポリシー) タブで、アタッチされている SCP のリストが更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに有効になり、アタッチされたアカウントや、アタッチされたルートまたは OU の下のすべてのアカウントの IAM ユーザーとロールのアクセス許可に影響します。

ポリシーに移動して SCP をアタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
サービスコントロールポリシーページで、アタッチするポリシーの名前を選択します。
[Targets] (ターゲット) タブで [Attach] (アタッチ) を選択します。
ポリシーをアタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
ポリシーの添付 を選択します。

[Targets] (ターゲット) タブで、アタッチされている SCP のリストが更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに有効になり、アタッチされたアカウントや、アタッチされたルートまたは OU の下のすべてのアカウントの IAM ユーザーとロールのアクセス許可に影響します。

Resource control policies (RCPs)

RCP をアタッチするには、そのポリシーに移動するか、もしくはそのポリシーをアタッチしたいルート、OU、またはアカウントに移動します。

ルート、OU、またはアカウントに移動して RCP をアタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
AWS アカウント ページで、RCP をアタッチするルート、OU、またはアカウントに移動して、その項目の横にあるチェックボックスをオンにします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
[ポリシー] タブの [リソースコントロールポリシー] で、[アタッチ] を選択します。
目的のポリシーを見つけて [Attach policy] (ポリシーのアタッチ) を選択します。

[ポリシー] タブ内のアタッチされている RCP のリストが更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに有効になり、アタッチされたアカウント、もしくはアタッチされたルートまたは OU の下のすべてのアカウント内のリソースのアクセス許可に影響します。

ポリシーに移動して RCP をアタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
[リソースコントロールポリシー] ページで、アタッチするポリシーの名前を選択します。
[Targets] (ターゲット) タブで [Attach] (アタッチ) を選択します。
ポリシーをアタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
ポリシーの添付 を選択します。

[ターゲット] タブで、アタッチされている RCP のリストが更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに有効になり、アタッチされたアカウント、もしくはアタッチされたルートまたは OU の下のすべてのアカウント内のリソースのアクセス許可に影響します。

Declarative policies

宣言型ポリシーをアタッチするには、そのポリシーに移動するか、あるいはそのポリシーをアタッチしたいルート、OU、またはアカウントに移動します。

ルート、OU、またはアカウントに移動して宣言型ポリシーをアタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
AWS アカウント ページで、ポリシーをアタッチするルート、OU、またはアカウントを見つけ、名前を選択します。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
[ポリシー] タブの [宣言型ポリシー] で、[アタッチ] を選択します。
目的のポリシーを見つけて [Attach policy] (ポリシーのアタッチ) を選択します。

[ポリシー] タブで、アタッチされている宣言型ポリシーのリストが更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに反映されます。

ポリシーに移動して宣言型ポリシーをアタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
[宣言型ポリシー] ページで、アタッチしたいポリシーの名前を選択します。
[Targets] (ターゲット) タブで [Attach] (アタッチ) を選択します。
ポリシーをアタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
ポリシーの添付 を選択します。

[ターゲット] タブで、アタッチされている宣言型ポリシーのリストが更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに反映されます。

Backup policies

バックアップポリシーのアタッチには、ポリシーに移動する方法と、ポリシーをアタッチするルート、OU、またはアカウントに移動する方法があります。

ルート、OU、またはアカウントに移動してバックアップポリシーをアタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
AWS アカウント ページで、ポリシーをアタッチするルート、OU、またはアカウントを見つけ、名前を選択します。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
[Policies] (ポリシー) タブの [Backup policies] (バックアップポリシー) の項目で、[Attach] (アタッチ) を選択します。
目的のポリシーを見つけて [Attach policy] (ポリシーのアタッチ) を選択します。

[Policies] (ポリシー) タブで、アタッチされているバックアップポリシーの一覧が更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに反映されます。

ポリシーに移動してバックアップポリシーをアタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
バックアップポリシーページで、アタッチするポリシーの名前を選択します。
[Targets] (ターゲット) タブで [Attach] (アタッチ) を選択します。
ポリシーをアタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
ポリシーの添付 を選択します。

[Targets] (ターゲット) タブで、アタッチされているバックアップポリシーの一覧が更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに反映されます。

Tag policies

タグポリシーをアタッチするには、ポリシーをアタッチするルート、OU、またはアカウントに移動します。

ルート、OU、またはアカウントに移動してタグポリシーをアタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
AWS アカウント ページで、ポリシーをアタッチするルート、OU、またはアカウントを見つけ、名前を選択します。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
[Policies] (ポリシー) タブの [Tag policies] (タグポリシー) で、[Attach] (アタッチ) を選択します。
目的のポリシーを見つけて [Attach policy] (ポリシーのアタッチ) を選択します。

[Policies] (ポリシー) タブで、アタッチされているタグポリシーのリストが更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに反映されます。

ポリシーに移動してタグポリシーをアタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
タグポリシーページで、アタッチするポリシーの名前を選択します。
[Targets] (ターゲット) タブで [Attach] (アタッチ) を選択します。
ポリシーをアタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
ポリシーの添付 を選択します。

[Targets] (ターゲット) タブで、アタッチされているタグポリシーのリストが更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに反映されます。

Chat applications policies

チャットアプリケーションポリシーをアタッチするには、そのポリシーに移動するか、もしくはそのポリシーをアタッチしたいルート、OU、またはアカウントに移動します。

ルート、OU、またはアカウントに移動してチャットアプリケーションポリシーをアタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
AWS アカウント ページで、ポリシーをアタッチするルート、OU、またはアカウントを見つけ、名前を選択します。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
[ポリシー] タブの [チャットアプリケーションポリシー] で、[アタッチ] を選択します。
目的のポリシーを見つけて [Attach policy] (ポリシーのアタッチ) を選択します。

[ポリシー] タブで、アタッチされているチャットアプリケーションポリシーのリストが更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに反映されます。

ポリシーに移動してチャットアプリケーションポリシーをアタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
チャットボットポリシーページで、アタッチするポリシーの名前を選択します。
[Targets] (ターゲット) タブで [Attach] (アタッチ) を選択します。
ポリシーをアタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
ポリシーの添付 を選択します。

[ターゲット] タブで、アタッチされているチャットアプリケーションポリシーのリストが更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに反映されます。

AI services opt-out policies

AI サービスのオプトアウトポリシーのアタッチには、ポリシーに移動する方法と、ポリシーをアタッチするルート、OU、またはアカウントに移動する方法があります。

ルート、OU、またはアカウントに移動して AI サービスのオプトアウトポリシーをアタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
AWS アカウント ページで、ポリシーをアタッチするルート、OU、またはアカウントを見つけ、名前を選択します。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
[Policies] (ポリシー) タブの [AI service opt-out policies] (AI サービスのオプトアウトポリシー) の項目で、[Attach] (アタッチ) を選択します。
目的のポリシーを見つけて [Attach policy] (ポリシーのアタッチ) を選択します。

[Policies] (ポリシー) タブで、アタッチされている AI サービスのオプトアウトポリシーの一覧が更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに反映されます。

ポリシーに移動して AI サービスのオプトアウトポリシーをアタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
AI サービスのオプトアウトポリシーページで、アタッチするポリシーの名前を選択します。
[Targets] (ターゲット) タブで [Attach] (アタッチ) を選択します。
ポリシーをアタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
ポリシーの添付 を選択します。

[Targets] (ターゲット) タブで、アタッチされている AI サービスのオプトアウトポリシーの一覧が更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに反映されます。

Security Hub CSPM policies

Security Hub CSPM ポリシーをアタッチするには、ポリシーに移動するか、ポリシーをアタッチするルート、OU、またはアカウントに移動します。

ルート、OU、またはアカウントに移動して Security Hub CSPM ポリシーをアタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
AWS アカウント ページで、ポリシーをアタッチするルート、OU、またはアカウントを見つけ、名前を選択します。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
Policies タブの Security Hub CSPM ポリシーのエントリで、Attach を選択します。
目的のポリシーを見つけて [Attach policy] (ポリシーのアタッチ) を選択します。

Policies タブにアタッチされた Security Hub CSPM ポリシーのリストが更新され、新しい追加が追加されました。ポリシーの変更はすぐに反映されます。

ポリシーに移動して Security Hub CSPM ポリシーをアタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
[Security Hub ポリシー] ページで、アタッチしたいポリシーの名前を選択します。
[Targets] (ターゲット) タブで [Attach] (アタッチ) を選択します。
ポリシーをアタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
ポリシーの添付 を選択します。

Targets タブにアタッチされた Security Hub CSPM ポリシーのリストが更新され、新しい追加が追加されました。ポリシーの変更はすぐに反映されます。

ポリシーをアタッチする

次のサンプルコードは、AttachPolicy を使用する方法を説明しています。

.NET

SDK for .NET

注記

GitHub には、その他のリソースもあります。用例一覧を検索し、AWS コード例リポジトリでの設定と実行の方法を確認してください。


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to attach an AWS Organizations policy to an organization,
    /// an organizational unit, or an account.
    /// </summary>
    public class AttachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then calls the
        /// AttachPolicyAsync method to attach the policy to the root
        /// organization.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new AttachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.AttachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}.");
            }
            else
            {
                Console.WriteLine("Was not successful in attaching the policy.");
            }
        }
    }

API の詳細については、AWS SDK for .NET API リファレンスの「AttachPolicy」を参照してください。

CLI

AWS CLI

root、OU、またはアカウントにポリシーをアタッチするには

例 1

次の例は、サービスコントロールポリシーを OU にアタッチする方法を示しています。


aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id ou-examplerootid111-exampleouid111

例 2

次の例は、サービスコントロールポリシーをアカウントに直接アタッチする方法を示しています。


aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id 333333333333

API の詳細については、AWS CLI コマンドリファレンスの「AttachPolicy」を参照してください。

Python

SDK for Python (Boto3)

注記

GitHub には、その他のリソースもあります。用例一覧を検索し、AWS コード例リポジトリでの設定と実行の方法を確認してください。


def attach_policy(policy_id, target_id, orgs_client):
    """
    Attaches a policy to a target. The target is an organization root, account, or
    organizational unit.

    :param policy_id: The ID of the policy to attach.
    :param target_id: The ID of the resources to attach the policy to.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Attached policy %s to target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't attach policy %s to target %s.", policy_id, target_id
        )
        raise

API の詳細については、AWS SDK for Python (Boto3) API リファレンスの「AttachPolicy」を参照してください。

ポリシーの変更はすぐに有効になり、アタッチされたアカウントや、アタッチされたルートまたは OU の下のすべてのアカウントの IAM ユーザーとロールのアクセス許可に影響します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ポリシーにアタッチされたタグを編集する

ポリシーのデタッチ