AWS マネージドポリシー Organizations AWS 管理ポリシーの更新 AWS マネージド認可ポリシー

AWS の管理ポリシー AWS Organizations

このセクションでは、組織の管理に使用する AWSマネージドポリシーについて説明します。 AWS 管理ポリシーを変更または削除することはできませんが、必要に応じて組織内のエンティティにアタッチまたはデタッチできます。

AWS OrganizationsAWS Identity and Access Management (IAM) で使用するマネージドポリシー

IAM管理ポリシーは、 AWSによって提供され、維持されます。管理ポリシーは、管理ポリシーを適切な IAM ユーザーまたはロールオブジェクトにアタッチすることでユーザーに割り当てることができる、一般的なタスクに対するアクセス許可を提供します。ポリシーを自分で記述する必要はありません。が新しいサービスをサポートするために必要に応じてポリシー AWS を更新すると、自動的にすぐに更新のメリットが得られます。

AWS 管理ポリシーのリストは、IAM コンソールの [Policies] (ポリシー) ページで確認できます。[Filter policies] (フィルターポリシー) のドロップダウンを使用して、[AWS managed] ( マネージド) を選択します。

以下の管理ポリシーを使用して、組織のユーザーにアクセス許可を付与できます

AWS 管理ポリシー: AWSOrganizationsFullAccess

組織を作成し、完全に管理するために必要なすべてのアクセス許可を提供します。

ポリシーを表示: AWSOrganizationsFullAccess。

AWS 管理ポリシー: AWSOrganizationsReadOnlyAccess

組織に関する情報への読み取り専用アクセスを提供します。ユーザーがこれに変更を加えることはできません。

ポリシーを表示: AWSOrganizationsReadOnlyAccess。

AWS 管理ポリシー: DeclarativePoliciesEC2Report

このポリシーは、AWSServiceRoleForDeclarativePoliciesEC2Report サービスにリンクされたロールによって使用され、メンバーアカウントのアカウント属性の状態を記述できるようにします。

ポリシーを表示する: DeclarativePoliciesEC2Report。

Organizations AWS 管理ポリシーの更新

次の表は、このサービスがこれらの変更の追跡を開始してからの AWS マネージドポリシーの更新の詳細を示しています。このページの変更に関する自動通知については、「Document History」ページの RSS フィードをサブスクライブしてください。

変更	説明	日付
AWSOrganizationsFullAccess – Organizations コンソールでアカウント名を確認または変更するために必要な API アクセス許可をアカウントに付与できるように更新されました。	組織内の任意のアカウントのアカウント名を表示するアクセスを有効にする `account:GetAccountInformation` アクションと、組織内の任意のアカウント名を変更するアクセスを有効にする `account:PutAccountName` アクションを追加しました。	2025 年 4 月 22 日
DeclarativePoliciesEC2Report – 新しい管理ポリシー	`AWSServiceRoleForDeclarativePoliciesEC2Report` サービスにリンクされたロールの機能を有効にする `DeclarativePoliciesEC2Report` ポリシーを追加しました。	2024 年 11 月 22 日
AWSOrganizationsReadOnlyAccess – ルートユーザー E メールアドレスの確認に必要なアカウント API アクセス許可を付与できるように更新されました。	`account:GetPrimaryEmail` アクションが追加され、組織内の任意のメンバーアカウントについて、ルートユーザー E メールアドレスを確認できるようになりました。また、`account:GetRegionOptStatus` アクションが追加され、組織内の任意のメンバーアカウントについて有効化されているリージョンを確認することもできるようになりました。	2024 年 6 月 6 日
AWSOrganizationsFullAccess – ポリシーステートメントを記述する `Sid` 要素を含めるように更新されました。	`AWSOrganizationsFullAccess` マネージドポリシーの `Sid` 要素が追加されました。	2024 年 2 月 6 日
AWSOrganizationsReadOnlyAccess – ポリシーステートメントを記述する `Sid` 要素を含めるように更新されました。	`AWSOrganizationsReadOnlyAccess` マネージドポリシーの `Sid` 要素が追加されました。	2024 年 2 月 6 日
AWSOrganizationsFullAccess - Organizations　コンソールを介して AWS リージョンを有効化または無効化するために必要な API アクセス許可をアカウントに付与できるように更新されました。	ポリシーに `account:ListRegions`、`account:EnableRegion`、および `account:DisableRegion` アクションが追加され、アカウントのリージョンを有効または無効にするための書き込みアクセス許可を有効化できるようにしました。	2022 年 12 月 22 日
AWSOrganizationsReadOnlyAccess – Organizations コンソール AWS リージョンを介した一覧表示に必要なアカウント API アクセス許可を許可するように更新されました。	ポリシーに `account:ListRegions` アクションが追加され、アカウントのリージョンを確認するためのアクセス許可を有効化できるようにしました。	2022 年 12 月 22 日
AWSOrganizationsFullAccess - Organizations コンソールを介してアカウントの連絡先を追加または編集するために必要な API アクセス許可をアカウントに付与できるように更新されました。	ポリシーに `account:GetContactInformation` および `account:PutContactInformation` アクションが追加され、アカウントの連絡先を変更するための書き込みアクセス許可を有効化できるようにしました。	2022 年 10 月 21 日
AWSOrganizationsReadOnlyAccess - Organizations コンソールを介してアカウントの連絡先を表示するために必要な API アクセス許可をアカウントに付与できるように更新されました。	ポリシーに `account:GetContactInformation` アクションが追加され、アカウントの連絡先を確認するためのアクセス許可を有効化できるようにしました。	2022 年 10 月 21 日
AWSOrganizationsFullAccess — 組織を作成できるように更新されました。	`CreateServiceLinkedRole` アクセス許可がポリシーに追加され、組織の作成に必要なサービスリンクロールの作成を許可できるようになりました。アクセス許可は、`organizations.amazonaws.com` のサービスのみで使用できるロールの作成に制限されています。	2022 年 8 月 24 日
AWSOrganizationsFullAccess – Organizations コンソールでアカウントの代替連絡先を追加、編集、または削除するために必要な API アクセス許可をアカウントに付与できるように更新されました。	ポリシーに `account:GetAlternateContact`、`account:DeleteAlternateContact`、および `account:PutAlternateContact` アクションが追加され、アカウントの代替連絡先を変更するための書き込みアクセス許可を有効化できるようになりました。	2022 年 2 月 7 日
AWSOrganizationsReadOnlyAccess – Organizations コンソールでアカウントの代替連絡先を表示するために必要な API アクセス許可をアカウントに付与できるように更新されました。	ポリシーに `account:GetAlternateContact` アクションが追加され、アカウントの代替連絡先を確認するためのアクセス許可を有効化できるようになりました。	2022 年 2 月 7 日

AWS マネージド認可ポリシー

認可ポリシーは IAM アクセス許可ポリシーに似ていますが、IAM AWS Organizations ではなくの機能です。認可ポリシーを使用することで、各メンバーアカウントのプリンシパルとリソースのアクセスを一元的に設定および管理できます。

Organizations コンソールの [Policies] (ポリシー) ページに、組織内のポリシーのリストが表示されます。

ポリシー名	説明	ARN
FullAWSAccess	すべてのオペレーションへのアクセスを許可します。	arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess
RCPFullAWSAccess	すべてのリソースへのアクセスを許可します。	arn:aws:organizations::aws:policy/resource_control_policy/p-RCPFullAWSAccess

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

リソースベースのポリシーの例

タグによる属性ベースのアクセスコントロール

AWS の 管理ポリシー AWS Organizations

AWS OrganizationsAWS Identity and Access Management (IAM) で使用する マネージドポリシー