サービスコントロールポリシーの例

サービスコントロールポリシー (SCPs) は、粗粒度のガードレールとして使用することを目的としており、直接アクセスを許可しません。管理者は、実際にアクセス許可を付与するために、アイデンティティベースまたはリソースベースのポリシーをアカウントの IAM プリンシパルまたはリソースにアタッチする必要があります。有効なアクセス許可は、サービスコントロールポリシー/リソースコントロールポリシーと ID ポリシー、またはサービスコントロールポリシー/リソースコントロールポリシーとリソースポリシーの論理的な共通部分です。アクセス許可に対する SCP の効果の詳細については、こちらを参照してください。

サービスコントロールポリシー (SCP) は、組織、組織単位、またはアカウントにアタッチされると、組織、組織単位、またはアカウント内のすべてのアカウントで使用可能なアクセス許可の最大数を一元的に制御できます。SCP は組織内の複数のレベルで適用できるため、SCPs の評価方法を理解することで、適切な結果をもたらす SCPsを作成するのに役立ちます。

このリポジトリのサービスコントロールポリシーを例に示します。ポリシーがアカウントに与える影響を徹底的にテストしない限り、SCPs をアタッチしないでください。実装するポリシーの準備ができたら、本番環境を表すことができる別の組織または OU でテストすることをお勧めします。テストが完了したら、より具体的な OUs に変更をデプロイし、時間の経過とともにより広範囲な OUs に変更を徐々にデプロイする必要があります。

このリポジトリの SCP 例では拒否リスト戦略を使用しています。つまり、組織エンティティにアタッチされたアクセスを許可してアクションを許可する FullAWSAccess ポリシーまたはその他のポリシーも必要です。アイデンティティベースまたはリソースベースのポリシーを使用して、プリンシパルに適切なアクセス許可を付与する必要もあります。