を使用した組織ポリシーのデタッチ AWS Organizations

このトピックでは、 AWS Organizationsでポリシーをデタッチする方法について説明します。ポリシーは、グループに適用するコントロールを定義します AWS アカウント。

トピック

ポリシーをデタッチする

を使用してポリシーをデタッチする AWS Organizations

最小アクセス許可

組織ルート、OU、またはアカウントからポリシーをデタッチするには、以下のアクションを実行する権限が必要です。

organizations:DetachPolicy

注記

ルート、OU、またはアカウントから最後の認可ポリシー (SCP もしくは RCP) をデタッチすることはできません。すべてのルート、OU、アカウントには常に少なくとも 1 つの SCP と RCP がアタッチされている必要があります。

Service control policies (SCPs)

SCP をデタッチするには、ポリシーまたはそのポリシーをデタッチするルート、OU、アカウントに移動する必要があります。

SCP がアタッチされているルート、OU、またはアカウントに移動して SCP をデタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
AWS アカウント ページで、ポリシーをデタッチするルート、OU、またはアカウントに移動します。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。ルート、OU、またはアカウントの名前を選択します。
[Policies] (ポリシー) タブで、デタッチする SCP の横にあるラジオボタンを選択して、[Detach] (デタッチ) を選択します。
確認ダイアログボックスで、[Detach policy] (ポリシーのデタッチ) を選択します。

アタッチされている SCP のリストが更新されます。SCP のデタッチによるポリシーの変更はすぐに有効になります。例えば、SCP をデタッチすると、以前にアタッチされた 1 つ以上のアカウントの IAM ユーザーおよびロールのアクセス許可によって、以前にアタッチされた組織ルートまたは OU にすぐに影響します。

ポリシーに移動して SCP をデタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
サービスコントロールポリシーページで、ルート、OU、またはアカウントからデタッチするポリシーの名前を選択します。
[Targets] (ターゲット) タブで、ポリシーをデタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
[Detach] (デタッチ) を選択します。
確認ダイアログボックスで、[Detach] (デタッチ) を選択します。

アタッチされている SCP のリストが更新されます。SCP のデタッチによるポリシーの変更はすぐに有効になります。例えば、SCP をデタッチすると、以前にアタッチされた 1 つ以上のアカウントの IAM ユーザーおよびロールのアクセス許可によって、以前にアタッチされた組織ルートまたは OU にすぐに影響します。

Resource control policies (RCPs)

RCP をデタッチするには、そのポリシーに移動するか、またはそのポリシーをデタッチするルート、OU、アカウントに移動する必要があります。特定のエンティティから RCP をデタッチすると、その RCP は、デタッチされたエンティティによって影響を受けるすべてのリソースに適用されなくなります。

注記

RCPFullAWSAccess ポリシーをデタッチすることはできません

RCPFullAWSAccess ポリシーは、ルート、すべての OU、および組織内のすべてのアカウントに自動的にアタッチされます。このポリシーをデタッチすることはできません。

RCP がアタッチされているルート、OU、またはアカウントに移動して RCP をデタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
AWS アカウント ページで、ポリシーをデタッチするルート、OU、またはアカウントに移動します。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。ルート、OU、またはアカウントの名前を選択します。
[ポリシー] タブで、デタッチする RCP の横にあるラジオボタンを選択して、[デタッチ] を選択します。
確認ダイアログボックスで、[Detach policy] (ポリシーのデタッチ) を選択します。

アタッチされている RCP のリストが更新されます。RCP のデタッチによるポリシーの変更はすぐに有効になります。例えば、RCP をデタッチすると、それまでアタッチされていたアカウント、またはそれまでアタッチされていた組織ルートまたは OU の下のアカウントの IAM ユーザーおよびロールのアクセス許可にすぐに影響します。

ポリシーに移動して RCP をデタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
[リソースコントロールポリシー] ページで、ルート、OU、またはアカウントからデタッチするポリシーの名前を選択します。
[Targets] (ターゲット) タブで、ポリシーをデタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
[Detach] (デタッチ) を選択します。
確認ダイアログボックスで、[Detach] (デタッチ) を選択します。

アタッチされている RCP のリストが更新されます。RCP のデタッチによるポリシーの変更はすぐに有効になります。例えば、RCP をデタッチすると、それまでアタッチされていたアカウント、またはそれまでアタッチされていた組織ルートまたは OU の下のアカウントの IAM ユーザーおよびロールのアクセス許可にすぐに影響します。

Declarative policies

宣言型ポリシーをデタッチするには、そのポリシーに移動するか、またはそのポリシーをデタッチするルート、OU、またはアカウントに移動します。

宣言型ポリシーがアタッチされているルート、OU、またはアカウントに移動してポリシーをデタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
AWS アカウント ページで、ポリシーをデタッチするルート、OU、またはアカウントに移動します。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。ルート、OU、またはアカウントの名前を選択します。
[ポリシー] タブで、デタッチする宣言型ポリシーの横にあるラジオボタンを選択し、[デタッチ] を選択します。
確認ダイアログボックスで、[Detach policy] (ポリシーのデタッチ) を選択します。

アタッチされている宣言型タグポリシーのリストが更新されます。ポリシーの変更はすぐに反映されます。

宣言型ポリシーに移動してポリシーをデタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
[宣言型ポリシー] ページで、ルート、OU、またはアカウントからデタッチするポリシーの名前を選択します。
[Targets] (ターゲット) タブで、ポリシーをデタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
[Detach] (デタッチ) を選択します。
確認ダイアログボックスで、[Detach] (デタッチ) を選択します。

アタッチされている宣言型タグポリシーのリストが更新されます。ポリシーの変更はすぐに反映されます。

Backup policies

バックアップポリシーのデタッチには、ポリシーに移動する方法と、ポリシーをデタッチするルート、OU、またはアカウントに移動する方法があります。

ポリシーがアタッチされているルート、OU、またはアカウントに移動してバックアップポリシーをデタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
AWS アカウント ページで、ポリシーをデタッチするルート、OU、またはアカウントに移動します。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。ルート、OU、またはアカウントの名前を選択します。
[Policies] (ポリシー) タブで、デタッチするバックアップポリシーの横にあるラジオボタンを選択し、[Detach] (デタッチ) を選択します。
確認ダイアログボックスで、[Detach policy] (ポリシーのデタッチ) を選択します。

アタッチされているバックアップポリシーの一覧が更新されます。ポリシーの変更はすぐに反映されます。

ポリシーに移動してバックアップポリシーをデタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
バックアップポリシーページで、ルート、OU、またはアカウントからデタッチするポリシーの名前を選択します。
[Targets] (ターゲット) タブで、ポリシーをデタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
[Detach] (デタッチ) を選択します。
確認ダイアログボックスで、[Detach] (デタッチ) を選択します。

アタッチされているバックアップポリシーの一覧が更新されます。ポリシーの変更はすぐに反映されます。

Tag policies

タグポリシーをデタッチするには、ポリシーをデタッチするルート、OU、またはアカウントに移動します。

タグポリシーがアタッチされているルート、OU、またはアカウントに移動してデタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
AWS アカウント ページで、ポリシーをデタッチするルート、OU、またはアカウントに移動します。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。ルート、OU、またはアカウントの名前を選択します。
[Policies] (ポリシー) タブで、デタッチするタグポリシーの横にあるラジオボタンをクリックし、[Detach] (デタッチ) を選択します。
確認ダイアログボックスで、[Detach policy] (ポリシーのデタッチ) を選択します。

アタッチされているタグポリシーのリストが更新されます。ポリシーの変更はすぐに反映されます。

ポリシーに移動してタグポリシーをデタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
タグポリシーページで、ルート、OU、またはアカウントからデタッチするポリシーの名前を選択します。
[Targets] (ターゲット) タブで、ポリシーをデタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
[Detach] (デタッチ) を選択します。
確認ダイアログボックスで、[Detach] (デタッチ) を選択します。

アタッチされているタグポリシーのリストが更新されます。ポリシーの変更はすぐに反映されます。

Chat applications policies

チャットアプリケーションポリシーをデタッチするには、そのポリシーに移動するか、またはそのポリシーをデタッチするルート、OU、またはアカウントに移動します。

チャットアプリケーションポリシーがアタッチされているルート、OU、またはアカウントに移動してポリシーをデタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
AWS アカウント ページで、ポリシーをデタッチするルート、OU、またはアカウントに移動します。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。ルート、OU、またはアカウントの名前を選択します。
[ポリシ―] タブで、デタッチするチャットアプリケーションポリシーの横にあるラジオボタンを選択し、[デタッチ] を選択します。
確認ダイアログボックスで、[Detach policy] (ポリシーのデタッチ) を選択します。

アタッチされているチャットアプリケーションポリシーのリストが更新されます。ポリシーの変更はすぐに反映されます。

チャットアプリケーションポリシーに移動してポリシーをデタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
チャットボットポリシーページで、ルート、OU、またはアカウントからデタッチするポリシーの名前を選択します。
[Targets] (ターゲット) タブで、ポリシーをデタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
[Detach] (デタッチ) を選択します。
確認ダイアログボックスで、[Detach] (デタッチ) を選択します。

アタッチされているチャットアプリケーションポリシーのリストが更新されます。ポリシーの変更はすぐに反映されます。

AI services opt-out policies

AI サービスのオプトアウトポリシーのデタッチには、ポリシーに移動する方法と、ポリシーをデタッチするルート、OU、またはアカウントに移動する方法があります。

ポリシーがアタッチされているルート、OU、またはアカウントに移動して AI サービスのオプトアウトポリシーをデタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
AWS アカウント ページで、ポリシーをデタッチするルート、OU、またはアカウントに移動します。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。ルート、OU、またはアカウントの名前を選択します。
[Policies] (ポリシー) タブで、デタッチする AI サービスのオプトアウトポリシーの横にあるラジオボタンを選択し、[Detach] (デタッチ) を選択します。
確認ダイアログボックスで、[Detach policy] (ポリシーのデタッチ) を選択します。

アタッチされている AI サービスのオプトアウトポリシーの一覧が更新されます。ポリシーの変更はすぐに反映されます。

ポリシーに移動して AI サービスのオプトアウトポリシーをデタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
AI サービスのオプトアウトポリシーページで、ルート、OU、またはアカウントからデタッチするポリシーの名前を選択します。
[Targets] (ターゲット) タブで、ポリシーをデタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
[Detach] (デタッチ) を選択します。
確認ダイアログボックスで、[Detach] (デタッチ) を選択します。

アタッチされている AI サービスのオプトアウトポリシーの一覧が更新されます。ポリシーの変更はすぐに反映されます。

Security Hub CSPM policies

Security Hub CSPM ポリシーをデタッチするには、ポリシーに移動するか、ポリシーをデタッチするルート、OU、またはアカウントに移動します。

アタッチされているルート、OU、またはアカウントに移動して Security Hub CSPM ポリシーをデタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
AWS アカウント ページで、ポリシーをデタッチするルート、OU、またはアカウントに移動します。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。ルート、OU、またはアカウントの名前を選択します。
ポリシータブで、デタッチする Security Hub CSPM ポリシーの横にあるラジオボタンを選択し、デタッチを選択します。
確認ダイアログボックスで、[Detach policy] (ポリシーのデタッチ) を選択します。

アタッチされた Security Hub CSPM ポリシーのリストが更新されました。ポリシーの変更はすぐに反映されます。

ポリシーに移動して Security Hub CSPM ポリシーをデタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。
[Security Hub ポリシー] ページで、ルート、OU、またはアカウントからデタッチするポリシーの名前を選択します。
[Targets] (ターゲット) タブで、ポリシーをデタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
[Detach] (デタッチ) を選択します。
確認ダイアログボックスで、[Detach] (デタッチ) を選択します。

アタッチされた Security Hub CSPM ポリシーのリストが更新されました。ポリシーの変更はすぐに反映されます。

ポリシーをアタッチする

次のサンプルコードは、DetachPolicy を使用する方法を説明しています。

.NET

SDK for .NET

注記

GitHub には、その他のリソースもあります。用例一覧を検索し、AWS コード例リポジトリでの設定と実行の方法を確認してください。


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to detach a policy from an AWS Organizations organization,
    /// organizational unit, or account.
    /// </summary>
    public class DetachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and uses it to call
        /// DetachPolicyAsync to detach the policy.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new DetachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.DetachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully detached policy with Policy Id: {policyId}.");
            }
            else
            {
                Console.WriteLine("Could not detach the policy.");
            }
        }
    }

API の詳細については、AWS SDK for .NET API リファレンスの「DetachPolicy」を参照してください。

CLI

AWS CLI

root、OU、またはアカウントからポリシーをデタッチするには

次のコード例は、OU からポリシーをデタッチする方法を示しています。


aws organizations  detach-policy  --target-id ou-examplerootid111-exampleouid111 --policy-id p-examplepolicyid111

API の詳細については、AWS CLI コマンドリファレンスの「DetachPolicy」を参照してください。

Python

SDK for Python (Boto3)

注記

GitHub には、その他のリソースもあります。用例一覧を検索し、AWS コード例リポジトリでの設定と実行の方法を確認してください。


def detach_policy(policy_id, target_id, orgs_client):
    """
    Detaches a policy from a target.

    :param policy_id: The ID of the policy to detach.
    :param target_id: The ID of the resource where the policy is currently attached.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.detach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Detached policy %s from target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't detach policy %s from target %s.", policy_id, target_id
        )
        raise

API の詳細については、AWS SDK for Python (Boto3) API リファレンスの「DetachPolicy」を参照してください。

ポリシーの変更はすぐに有効になり、それまでアタッチされていたアカウント、またはそれまでアタッチされていたルートまたは OU の下のすべてのアカウントの IAM ユーザー、ロールおよびリソースのアクセス許可に影響します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ポリシーのアタッチ

ポリシーの詳細情報の取得