翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# のセキュリティ AWS Organizations
のクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを活用できます。
セキュリティは、 AWS お客様とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)では、これをクラウドのセキュリティおよびクラウド内のセキュリティとして説明しています。
+ **クラウドのセキュリティ** – クラウド AWS のサービス で AWS 実行されるインフラストラクチャを保護する AWS 責任があります。 AWS また、 では、安全に使用できるサービスも提供しています。[「AWS 」 コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)の一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。が適用されるコンプライアンスプログラムの詳細については AWS Organizations、[AWS のサービス 「コンプライアンスプログラムによる対象範囲内](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウドのセキュリティ** – お客様の責任は、使用する AWS サービスによって決まります。また、ユーザーは、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。
このドキュメントは、Organizations.を使用する際に責任共有モデルを適用する方法を理解するのに役立ちます 以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成するように Organizations を設定する方法を説明します。また、Organizations リソースのモニタリングと保護 AWS のサービス に役立つ他の の使用方法についても説明します。
**Topics**
+ [AWS PrivateLink の AWS Organizations](orgs_security_privatelink.md)
+ [の Identity and Access Management AWS Organizations](orgs_security_iam.md)
+ [でのログ記録とモニタリング AWS Organizations](orgs_security_incident-response.md)
+ [のコンプライアンス検証 AWS Organizations](orgs_security_compliance-validation.md)
+ [の耐障害性 AWS Organizations](orgs_security_disaster-recovery-resiliency.md)
+ [のインフラストラクチャセキュリティ AWS Organizations](orgs_security_infrastructure.md)
# AWS PrivateLink の AWS Organizations
AWS PrivateLink for を使用すると AWS Organizations、パブリックインターネットを経由することなく、仮想プライベートクラウド (VPC) 内から AWS Organizations サービスにアクセスできます。
Amazon VPC では、カスタム仮想ネットワークで AWS リソースを起動できます。VPC を使用して、IP アドレス範囲、サブネット、ルートテーブル、ネットワークゲートウェイなどのネットワーク設定を制御できます。Amazon VPC の詳細については、「[https://docs.aws.amazon.com/vpc/latest/userguide/](https://docs.aws.amazon.com/vpc/latest/userguide/)」を参照してください。
Amazon VPC を に接続するには AWS Organizations、まずインターフェイス VPC エンドポイント (インターフェイスエンドポイント) を定義する必要があります。インターフェイスエンドポイントは、VPC 内のサブネットからプライベート IP アドレスが割り当てられた 1 つ以上の Elastic Network Interface (ENI) で表されます。VPC から AWS Organizations インターフェイスエンドポイント経由へのリクエストは、Amazon ネットワークに残ります。
インターフェイスエンドポイントの一般的な情報については、*「Amazon* [VPC ユーザーガイド」の「インターフェイス VPC エンドポイントを使用して AWS サービス](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-interface-limitations)にアクセスする」を参照してください。
**Topics**
+ [AWS PrivateLink の の制限と制限 AWS Organizations](#limits-restrictions-privatelink)
+ [VPC エンドポイントの作成](create-vpc-endpoint.md)
+ [VPC エンドポイントポリシーの作成](create-vpc-endpoint-policy.md)
## AWS PrivateLink の の制限と制限 AWS Organizations
AWS PrivateLink for には VPC の制限が適用されます AWS Organizations。詳細については、*「Amazon* [VPC ユーザーガイド」の「インターフェイス VPC エンドポイントとクォータを使用して AWS サービスにアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-interface-limitations)」を参照してください。 [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-limits-endpoints.html)また、以下の制限も適用されます。
+ `us-east-1` リージョンでのみ利用可能です。
+ Transport Layer Security (TLS) 1.1 をサポートしていません。
# の VPC エンドポイントの作成 AWS Organizations
Amazon VPC コンソール、 AWS Command Line Interface (AWS CLI)、または を使用して、VPC に AWS Organizations エンドポイントを作成できます CloudFormation。
Amazon VPC コンソールまたは を使用してエンドポイントを作成および設定する方法については AWS CLI、「Amazon [VPC ユーザーガイド」の「VPC エンドポイントの作成](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)」を参照してください。 **を使用してエンドポイントを作成および設定する方法については CloudFormation、「 *AWS CloudFormation ユーザーガイド*」の[AWS::EC2::VPCEndpoint](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) リソース」を参照してください。
AWS Organizations エンドポイントを作成するときは、サービス名として以下を使用します。
```
com.amazonaws.us-east-1.organizations
```
アクセス時に FIPS 140-2 検証済み暗号化モジュールが必要な場合は AWS、次の AWS Organizations FIPS サービス名を使用します。
```
com.amazonaws.us-east-1.organizations-fips
```
# の VPC エンドポイントポリシーの作成 AWS Organizations
VPC エンドポイントには、Organizations へのアクセスを制御するエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。
+ アクションを実行できるプリンシパル。
+ 実行可能なアクション。
+ アクションを実行できるリソース。
詳細については、「*Amazon VPC ユーザーガイド*」の「[エンドポイントポリシーを使用して VPC エンドポイントへのアクセスを制御する](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」を参照してください。
## 例: AWS Organizations アクションの VPC エンドポイントポリシー
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"Organizations:DescribeAccount"
],
"Resource":"*"
}
]
}
```
# の Identity and Access Management AWS Organizations
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を*認証* (サインイン) し、誰に Organizations リソースの使用を*承認* (アクセス許可を付与する) するかを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。
**Topics**
+ [オーディエンス](#security_iam_audience)
+ [アイデンティティを使用した認証](#security_iam_authentication)
+ [ポリシーを使用したアクセスの管理](#security_iam_access-manage)
+ [が IAM と AWS Organizations 連携する方法](security_iam_service-with-iam.md)
+ [組織へのアクセス許可の管理](orgs_permissions_overview.md)
+ [アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)
+ [リソースベースのポリシーの例](security_iam_resource-based-policy-examples.md)
+ [AWS マネージドポリシー](orgs_reference_available-policies.md)
+ [タグによる属性ベースのアクセスコントロール](orgs_tagging_abac.md)
+ [トラブルシューティング](security_iam_troubleshoot.md)
## オーディエンス
AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[AWS Organizations ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[が IAM と AWS Organizations 連携する方法](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[のアイデンティティベースのポリシーの例 AWS Organizations](security_iam_id-based-policy-examples.md)」を参照)
## アイデンティティを使用した認証
認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
### AWS アカウント ルートユーザー
を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *ルートユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### フェデレーテッドアイデンティティ
ベストプラクティスとして、人間のユーザーが一時的な認証情報 AWS のサービス を使用して にアクセスするには、ID プロバイダーとのフェデレーションを使用する必要があります。
*フェデレーティッド ID* は、エンタープライズディレクトリ、ウェブ ID プロバイダー、または ID Directory Service ソースの認証情報 AWS のサービス を使用して にアクセスするユーザーです。フェデレーテッドアイデンティティは、一時的な認証情報を提供するロールを引き受けます。
アクセスを一元管理する場合は、 AWS IAM アイデンティティセンターをお勧めします。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[IAM アイデンティティセンターとは](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスすることを人間 AWS のユーザーに要求する](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。[ユーザーから IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、ID またはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。
### その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の上限を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
# が IAM と AWS Organizations 連携する方法
IAM を使用して Organizations へのアクセスを管理するときは、事前に、Organizations で使用できる IAM の機能について理解しておきます。
| IAM 機能 | Organizations のサポート |
| --- | --- |
| [アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies) | あり |
| [リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies) | はい |
| [ポリシーアクション](#security_iam_service-with-iam-id-based-policies-actions) | あり |
| [ポリシーリソース](#security_iam_service-with-iam-id-based-policies-resources) | はい |
| [ポリシー条件キー (サービス固有)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | はい |
| [ACL](#security_iam_service-with-iam-acls) | なし |
| [ABAC (ポリシー内のタグ)](#security_iam_service-with-iam-tags) | あり |
| [一時的な認証情報](#security_iam_service-with-iam-roles-tempcreds) | いいえ |
| [転送アクセスセッション (FAS)](#security_iam_service-with-iam-principal-permissions) | あり |
| [サービスロール](#security_iam_service-with-iam-roles-service) | あり |
| [サービスリンクロール](#security_iam_service-with-iam-roles-service-linked) | はい |
Organizations およびその他の AWS のサービスがほとんどの IAM 機能と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## Organizations のアイデンティティベースのポリシー
**アイデンティティベースのポリシーのサポート:** あり
アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### Organizations のアイデンティティベースのポリシーの例
Organizations アイデンティティベースのポリシーの例については、「[のアイデンティティベースのポリシーの例 AWS Organizations](security_iam_id-based-policy-examples.md)」を参照してください。
## Organizations 内のリソースベースのポリシー
**リソースベースのポリシーのサポート:** あり
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM *ロールの信頼ポリシー* や Amazon S3 *バケットポリシー* があげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーで、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または を含めることができます AWS のサービス。
クロスアカウントアクセスを有効にするには、全体のアカウント、または別のアカウントの IAM エンティティを、リソースベースのポリシーのプリンシパルとして指定します。詳細については、IAM ユーザーガイド**の[IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)を参照してください。
Organizations サービスは、*リソースベースの委任ポリシー*と呼ばれる 1 つのタイプのリソースベースのポリシーのみをサポートします。これは、ポリシーに対してアクションを実行できるメンバーアカウントを指定するものです。ポリシーに複数のステートメントを追加して、メンバーアカウントにさまざまなアクセス許可を示すことができます。
詳細については、「[の委任管理者 AWS Organizations](orgs_delegate_policies.md)」を参照してください。
### Organizations 内のリソースベースのポリシーの例
Organizations リソースベースのポリシーの例については、「[のリソースベースのポリシーの例 AWS Organizations](security_iam_resource-based-policy-examples.md)」を参照してください。
## Organizations のポリシーアクション
**ポリシーアクションのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
Organizations アクションのリストを確認するには、「*Service Authorization Reference*」の「[Actions defined by AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-actions-as-permissions)」を参照してください。
Organizations のポリシーアクションは、アクションの前に以下のプレフィックスを使用します。
```
organizations
```
単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。
```
"Action": [
"organizations:action1",
"organizations:action2"
]
```
Organizations アイデンティティベースのポリシーの例については、「[のアイデンティティベースのポリシーの例 AWS Organizations](security_iam_id-based-policy-examples.md)」を参照してください。
## Organizations のポリシーリソース
**ポリシーリソースのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
Organizations リソースのタイプとその ARN のリストを確認するには、「*Service Authorization Reference*」の「[Resources defined by AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-resources-for-iam-policies)」を参照してください。どのアクションで各リソースの ARN を指定できるかについては、「[AWS Organizationsで定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-actions-as-permissions)」を参照してください。
Organizations アイデンティティベースのポリシーの例については、「[のアイデンティティベースのポリシーの例 AWS Organizations](security_iam_id-based-policy-examples.md)」を参照してください。
## Organizations のポリシー条件キー
**サービス固有のポリシー条件キーのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
Organizations の条件キーのリストを確認するには、「*Service Authorization Reference*」の「[Condition keys for AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-policy-keys)」を参照してください。条件キーを使用できるアクションとリソースについては、[「 で定義されるアクション AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-actions-as-permissions)」を参照してください。
Organizations アイデンティティベースのポリシーの例については、「[のアイデンティティベースのポリシーの例 AWS Organizations](security_iam_id-based-policy-examples.md)」を参照してください。
## Organizations における ACL
**ACL のサポート:** なし
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
## Organizations を使用した ABAC
**ABAC (ポリシー内のタグ) のサポート:** あり
属性ベースのアクセス制御 (ABAC) は、タグと呼ばれる属性に基づいてアクセス許可を定義する認可戦略です。IAM エンティティと AWS リソースにタグをアタッチし、プリンシパルのタグがリソースのタグと一致するときにオペレーションを許可するように ABAC ポリシーを設計できます。
タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。
サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値は**あり**です。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「**部分的**」になります。
ABAC の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可でアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「*IAM ユーザーガイド*」の「[属性ベースのアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。
## Organizations での一時的な認証情報の使用
**一時的な認証情報のサポート:** なし
一時的な認証情報は、 AWS リソースへの短期的なアクセスを提供し、フェデレーションまたは切り替えロールを使用する場合に自動的に作成されます。 AWS では、長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## Organizations の転送アクセスセッション
**転送アクセスセッション (FAS) のサポート:** あり
転送アクセスセッション (FAS) は、 を呼び出すプリンシパルのアクセス許可と AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストをリクエストする を使用します。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。
## Organizations のサービスロール
**サービスロールのサポート:** あり
サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、IAM ユーザーガイド**の [AWS のサービスに許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を参照してください。
**警告**
サービスロールの許可を変更すると、Organizations の機能性が損なわれる可能性があります。Organizations が指示する場合以外は、サービスロールを編集しないでください。
## Organizations のサービスにリンクされたロール
**サービスリンクロールのサポート:** あり
サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。
サービスにリンクされたロールの作成または管理の詳細については、「[IAM と提携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。表の「**サービスリンクロール**」列に `Yes` と記載されたサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、**[はい]** リンクを選択します。
# を使用した組織のアクセス許可の管理 AWS Organizations
組織内のルート、OUs、アカウント、ポリシーを含むすべての AWS リソースは によって所有され AWS アカウント、リソースを作成またはアクセスするアクセス許可はアクセス許可ポリシーによって管理されます。組織では、管理アカウントはすべてのリソースを所有します。アカウント管理者は、IAM ID (ユーザー、グループ、ロール) にアクセス許可ポリシーをアタッチすることで、 AWS リソースへのアクセスを制御できます。
**注記**
アカウント管理者 (または管理者ユーザー) は、管理者アクセス許可を持つユーザーです。詳細については、「*AWS アカウント管理 リファレンスガイド*」の「[IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/accounts/latest/reference/getting-started-step4.html)」を参照してください。
アクセス許可を付与する場合、アクセス許可を取得するユーザー、取得するアクセス許可の対象となるリソース、およびそれらのリソースに対して許可される特定のアクションを決定します。
デフォルトでは、IAM ユーザー、グループ、ロールにはアクセス許可がありません。組織の管理アカウントの管理者として管理タスクを行うか、管理アカウントの他の IAM ユーザーまたはロールに管理者のアクセス許可を委任できます。そのためには、IAM ユーザー、グループ、またはロールに IAM アクセス許可ポリシーをアタッチします。デフォルトでは、ユーザーにこれらを行う権限はありません。これは、*暗黙的な拒否*と呼ばれます。このポリシーによって、暗黙的な拒否は、ユーザーが実行するアクションや、アクションを実行できるリソースを指定する*明示的な許可*に上書きされます。ロールにアクセス許可が付与されている場合は、組織内の他のアカウントのユーザーはそのロールを引き受けることができます。
## AWS Organizations リソースとオペレーション
このセクションでは、 AWS Organizations 概念が IAM と同等の概念にどのようにマッピングされるかについて説明します。
### リソース
では AWS Organizations、次のリソースへのアクセスを制御できます。
+ 組織の階層構造を構成するルートおよび OU
+ 組織のメンバーであるアカウント
+ 組織のエンティティにアタッチするポリシー
+ 組織の状態の変更に使用するハンドシェイク
このようなリソースにはそれぞれ、一意の Amazon リソースネーム (ARN) が関連付けられています。IAM アクセス許可ポリシーの `Resource` 要素の ARN を指定して、リソースへのアクセスをコントロールします。で使用されるリソースの ARN 形式の詳細なリストについては AWS Organizations、*「サービス認可リファレンス*」の[「 で定義されるリソースタイプ AWS Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-resources-for-iam-policies)」を参照してください。
### オペレーション
AWS は、組織内のリソースを操作するための一連のオペレーションを提供します。そのため、リソースの作成、一覧表示、変更、内容へのアクセス、削除などを行うことができます。ほとんどのオペレーションは、オペレーションの実行権限を制御する IAM ポリシーの `Action` 要素で参照できます。IAM ポリシーでアクセス許可として使用できる AWS Organizations オペレーションのリストについては、「*Service Authorization Reference*」の「[Actions defined by organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-actions-as-permissions)」をご覧ください。
`Action` と `Resource` を 1 つのアクセス許可ポリシー `Statement` で組み合わせると、特定のアクションを使用できるリソースが正確に制御されます。
### 条件キー
AWS には、特定のアクションをより詳細に制御するためにクエリできる条件キーが用意されています。IAM ポリシーの `Condition` 要素でこれらの条件キーを参照し、ステートメントが一致しているとみなされる条件を満たすように追加条件を指定することができます。
以下の条件キーは、特に で役立ちます AWS Organizations。
+ `aws:PrincipalOrgID` - リソースベースのポリシーの `Principal` 要素の指定を簡素化します。このグローバルキーは、組織内のすべての AWS アカウント のすべてのアカウント ID を一覧表示する代わりに使用できます。組織のメンバーであるすべてのアカウントを一覧表示せずに、`Condition` 要素に[組織 ID](orgs_manage_org.md) を指定することができます。
**注記**
このグローバル条件は、組織の管理アカウントにも適用されます。
詳細については、「*IAM ユーザーガイド*」で「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」の `PrincipalOrgID` の説明を参照してください。
+ `aws:PrincipalOrgPaths` - この条件キーを使用して、特定の組織ルート、OU、またはその子のメンバーを照合します。リクエストを行うプリンシパル (ルートユーザー、IAM ユーザー、またはロール) が指定された組織パスにある場合、`aws:PrincipalOrgPaths` 条件キーは true を返します。パスは、 AWS Organizations エンティティの構造のテキスト表現です。パスの詳細については、*IAM ユーザーガイド*[の AWS Organizations 「エンティティパスを理解する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html#access_policies_access-advisor-viewing-orgs-entity-path)」を参照してください。この条件キーの使用の詳細については、*IAM ユーザーガイド*の「[aws:PrincipalOrgPaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principal-org-paths)」を参照してください。
例えば次の条件要素は、同じ組織内の 2 つの OU のいずれかのメンバーと一致します。
```
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
"o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/"
]
}
}
```
+ `organizations:PolicyType` - この条件キーを使用して、Organization ポリシー関連 API オペレーションを、指定したタイプの Organization ポリシーでのみ動作するように制限できます。この条件キーは、Organizations ポリシーとやり取りするアクションを含むポリシーステートメントに適用できます。
この条件キーでは、次の値を使用できます。
+ `SERVICE_CONTROL_POLICY`
+ `RESOURCE_CONTROL_POLICY`
+ `DECLARATIVE_POLICY_EC2`
+ `BACKUP_POLICY`
+ `TAG_POLICY`
+ `CHATBOT_POLICY`
+ `AISERVICES_OPT_OUT_POLICY`
例えば、次のポリシー例では、ユーザーが任意の Organizations オペレーションを実行できます。ただし、ポリシー引数を取るオペレーションをユーザーが実行した場合、指定したポリシーがタグ付けポリシーである場合にのみオペレーションが許可されます。ユーザーが他のタイプのポリシーを指定した場合、オペレーションは失敗します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IfTaggingAPIThenAllowOnOnlyTaggingPolicies",
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": [ "TAG_POLICY" ]
}
}
}
]
}
```
------
+ `organizations:ServicePrincipal` - [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) オペレーションまたは [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) オペレーションで、他の AWS のサービスを使用して[信頼されたアクセス](orgs_integrate_services.md)を有効または無効にする場合の条件として使用できます。`organizations:ServicePrincipal` を使用して、これらのオペレーションからのリクエストを、承認されたサービスプリンシパル名のリストに制限できます。
たとえば、次のポリシーでは、 で信頼されたアクセスを有効または無効に AWS Firewall Manager する場合にのみ を指定できます AWS Organizations。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowOnlyAWSFirewallIntegration",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:ServicePrincipal": [ "fms.amazonaws.com" ]
}
}
}
]
}
```
------
IAM ポリシーでアクセス許可として使用できる AWS Organizations特定の条件キーのリストについては、*「サービス認可リファレンス*」の「 [の条件キー AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys)」を参照してください。
## リソース所有権についての理解
は、リソースを作成したユーザーに関係なく、アカウントで作成されたリソース AWS アカウント を所有します。具体的には、リソース所有者は、リソース作成リクエスト AWS アカウント を認証する[プリンシパルエンティティ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (ルートユーザー、IAM ユーザー、または IAM ロール) の です。組織の場合は、これは***常に***管理アカウントになります。組織のリソースの作成またはアクセスを行うほとんどのオペレーションは、メンバーアカウントから呼び出すことができません。次の例は、この仕組みを示しています。
+ 管理アカウントのルートアカウントの認証情報を使用して OU を作成する場合の管理アカウントは、リソースの所有者です。( では AWS Organizations、リソースは OU です)。
+ 管理アカウントに IAM ユーザーを作成し、そのユーザーに OU を作成するためのアクセス権限を付与する場合、そのユーザーは OU を作成できます。ただし、OU リソースを所有しているのは、このユーザーが属する管理アカウントです。
+ OU を作成するためのアクセス権限を持つ管理アカウントに IAM ロールを作成する場合は、ロールを引き受けることのできるユーザーはいずれも OU を作成できます。OU リソースを所有するのは、ロール (引き受けるユーザーではない) が属する管理アカウントです。
## リソースへのアクセスの管理
*アクセス権限ポリシー* では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。
**注記**
このセクションでは、 のコンテキストでの IAM の使用について説明します AWS Organizations。ここでは、IAM サービスに関する詳細情報を提供しません。完全な IAM ドキュメントについては、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)」を参照してください。IAM ポリシー構文の詳細と説明については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。
IAM ID にアタッチされているポリシーは、*ID ベース* のポリシー (IAM ポリシー) と呼ばれます。リソースにアタッチされているポリシーは、*リソースベース* のポリシーと呼ばれます。
**Topics**
+ [ID ベースのアクセス許可ポリシー (IAM ポリシー)](#orgs-access-control-iam-policies)
### ID ベースのアクセス許可ポリシー (IAM ポリシー)
IAM ID にポリシーをアタッチして、それらの ID が AWS リソースに対してオペレーションを実行することを許可できます。例えば、次のオペレーションを実行できます。
+ **アカウントのユーザーまたはグループにアクセス許可ポリシーをアタッチする** – [サービスコントロールポリシー (SCP)](orgs_manage_policies_scps.md) や OU などの AWS Organizations リソースを作成するアクセス許可をユーザーに付与するには、ユーザーまたはユーザーが属するグループにアクセス許可ポリシーをアタッチできます。ユーザーまたはグループを組織の管理アカウントにする必要があります。
+ **アクセス許可ポリシーをロールにアタッチする (クロスアカウントのアクセス許可を付与する)** - アイデンティティベースのアクセス許可ポリシーを IAM ロールにアタッチして、クロスアカウントのアクセス許可を組織に付与することができます。例えば、管理アカウントの管理者はロールを作成し、次のようにクロスアカウントのアクセス許可をメンバーアカウントのユーザーに付与できます。
1. 管理アカウントの管理者は IAM ロールを作成し、ロールにアクセス許可ポリシーをアタッチして組織のリソースにアクセス許可を付与します。
1. 管理アカウントの管理者は、そのロールを引き受ける `Principal` として、メンバーアカウントの ID を識別するロールに信頼ポリシーをアタッチします。
1. その後、メンバーアカウント管理者は、ロールを引き受けるアクセス権限をメンバーアカウントのユーザーに委任できます。これにより、メンバーアカウントのユーザーは、管理アカウントや組織のリソースを作成し、アクセスできるようになります。ロールを引き受けるアクセス許可を AWS サービスに付与する場合は、信頼ポリシーのプリンシパルを AWS サービスプリンシパルにすることもできます。
IAM を使用した許可の委任の詳細については、「IAM ユーザーガイド」の「[アクセス管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)」を参照してください。
以下に示しているのは、組織の `CreateAccount` アクションの実行をユーザーに許可するポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"Stmt1OrgPermissions",
"Effect":"Allow",
"Action":[
"organizations:CreateAccount"
],
"Resource":"*"
}
]
}
```
------
ポリシーの `Resource` 要素に部分的な ARN を指定して、リソースのタイプを示すこともできます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowCreatingAccountsOnResource",
"Effect":"Allow",
"Action":"organizations:CreateAccount",
"Resource":"arn:aws:organizations::*:account/*"
}
]
}
```
------
作成するアカウントに特定のタグを含まないアカウントの作成を拒否することもできます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyCreatingAccountsOnResourceBasedOnTag",
"Effect":"Deny",
"Action":"organizations:CreateAccount",
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/key":"value"
}
}
}
]
}
```
------
ユーザー、グループ、ロール、アクセス許可の詳細については、「*IAM ユーザーガイド*」の「[IAM identities (users, user groups, and roles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)」を参照してください。
## ポリシー要素の指定: アクション、条件、効果、リソース
サービスは、 AWS Organizations リソースごとに、そのリソースと何らかの方法でやり取りまたは操作できる一連の API オペレーションまたはアクションを定義します。これらのオペレーションのアクセス許可を付与するために、 はポリシーで指定できる一連のアクション AWS Organizations を定義します。たとえば、OU リソースの場合、 は次のようなアクション AWS Organizations を定義します。
+ `AttachPolicy` および `DetachPolicy`
+ `CreateOrganizationalUnit` および `DeleteOrganizationalUnit`
+ `ListOrganizationalUnits` および `DescribeOrganizationalUnit`
場合によっては、API オペレーションを実行する際、アクションまたはリソースのアクセス許可が 2 つ以上必要になることがあります。
IAM アクセス許可ポリシーで使用できる最もベーシックなポリシーは、次のとおりです。
+ **Action** - このキーワードを使用して、許可または拒否するオペレーション (アクション) を識別します。たとえば、指定された に応じて`Effect`、 は `CreateAccount`オペレーションを実行するためのユーザーアクセス許可`organizations:CreateAccount`を許可または拒否します AWS Organizations 。詳細については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素 Action](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html)」を参照してください。
+ **Resource** - このキーワードを使用して、ポリシー構文が適用されるリソースの ARN を指定します。詳細については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素 Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)」を参照してください。
+ **Condition** - ポリシーステートメントを満たす必要がある条件を指定するために、このキーワードを使用します。`Condition` は通常、ポリシーが一致するために満たす必要がある追加条件を指定します。詳細については、*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素: 条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。
+ **Effect** - このキーワードを使用して、ポリシー構文でリソースのアクションを許可または拒否するかどうかを指定します。リソースへのアクセス権を明示的に付与 (または許可) していない場合、アクセスは暗黙的に拒否されます。また、リソースへのアクセスを明示的に拒否することもできます。これにより、別のポリシーによってアクセスが許可されていても、ユーザーは、指定のリソースで指定のアクションを実行できないことがあります。詳細については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素 Effect](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html)」を参照してください。
+ **Principal** - アイデンティティベースのポリシー (IAM ポリシー) では、ポリシーがアタッチされているユーザーが自動的かつ暗黙的にプリンシパルとなります。リソースベースのポリシーでは、アクセス許可 (リソースベースのポリシーにのみ適用) を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。
IAM ポリシーの構文と記述の詳細については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。
# のアイデンティティベースのポリシーの例 AWS Organizations
デフォルトでは、ユーザーとロールには Organizations リソースを作成または変更するアクセス許可はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。
これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
Organizations が定義するアクションとリソースタイプ (リソースタイプごとの ARN の形式を含む) の詳細については、「*Service Authorization Reference*」の「[Actions, resources, and condition keys for AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html)」を参照してください。
**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [コンソールを使用する](#security_iam_id-based-policy-examples-console)
+ [自分の権限の表示をユーザーに許可する](#security_iam_id-based-policy-examples-view-own-permissions)
+ [完全な管理者権限をユーザーに付与する](#orgs_permissions_grant-admin-actions)
+ [制限付きのアクセス許可をアクションごとに付与する](#orgs_permissions_grant-limited-actions)
+ [特定のリソースへのアクセス許可の付与](#orgs_permissions_grant-limited-resources)
+ [制限付きサービスプリンシパルに信頼されたアクセスを有効にするための権限を付与する](#orgs_permissions_grant-trusted-access-condition)
## ポリシーに関するベストプラクティス
ID ベースのポリシーは、あるユーザーがアカウント内で Organizations リソースを作成、アクセス、または削除できるどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、*最小特権*アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## Organizations コンソールの使用
AWS Organizations コンソールにアクセスするには、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、 の Organizations リソースの詳細を一覧表示および表示できます AWS アカウント。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
ユーザーとロールが引き続き Organizations コンソールを使用できるようにするには、Organizations [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html)または [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html) AWS 管理ポリシーもエンティティにアタッチします。詳細については、「*IAM ユーザーガイド*」の「[ユーザーへのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。
## 自分の権限の表示をユーザーに許可する
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 完全な管理者権限をユーザーに付与する
組織内の IAM ユーザーに完全な AWS Organizations 管理者権限を付与する IAM ポリシーを作成できます。これを行うには、IAM コンソールの JSON ポリシーエディタを使用します。
**JSON ポリシーエディタでポリシーを作成するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. 左側のナビゲーションペインで、**[ポリシー]** を選択します。
初めて **[ポリシー]** を選択する場合には、**[管理ポリシーにようこそ]** ページが表示されます。**今すぐ始める** を選択します。
1. ページの上部で、**[ポリシーを作成]** を選択します。
1. **ポリシーエディタ** セクションで、**JSON** オプションを選択します。
1. 次の JSON ポリシードキュメントを入力します。
```
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*"
}
}
```
1. **次へ** を選択します。
**注記**
いつでも **Visual** と **JSON** エディタオプションを切り替えることができます。ただし、**[ビジュアル]** エディタで **[次へ]** に変更または選択した場合、IAM はポリシーを再構成してビジュアルエディタに合わせて最適化することがあります。詳細については、*IAM ユーザーガイド* の [ポリシーの再構成](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) を参照してください。
1. **確認と作成** ページで、作成するポリシーの **ポリシー名** と **説明** (オプション) を入力します。**このポリシーで定義されているアクセス許可** を確認して、ポリシーによって付与されたアクセス許可を確認します。
1. **ポリシーを作成** をクリックして、新しいポリシーを保存します。
IAM ポリシーの作成の詳細については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
## 制限付きのアクセス許可をアクションごとに付与する
完全なアクセス許可ではなく制限されたアクセス許可を付与する場合は、IAM アクセス許可ポリシーの `Action` 要素で許可する個々のアクセス許可をリストするポリシーを作成できます。次の例に示すように、ワイルドカード (\$1) 文字を使用して `Describe*` および `List*` のアクセス権限のみを付与することができます。この方法では通常、読み取り専用アクセスが組織に付与されます。
**注記**
サービスコントロールポリシー (SCP) では、`Action` 要素のワイルドカード (\$1) 文字は、ポリシー自体、または文字列の末尾にのみ使用できます。文字列の先頭または中間には表示されません。そのため、`"servicename:action*"` は有効ですが、`"servicename:*action"` と `"servicename:some*action"` はいずれも、SCP で無効です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"organizations:Describe*",
"organizations:List*"
],
"Resource": "*"
}
}
```
------
IAM ポリシーで割り当てることができるすべてのアクセス許可のリストについては、*「サービス認可リファレンス*」の[AWS 「Organizations で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-actions-as-permissions)」を参照してください。
## 特定のリソースへのアクセス許可の付与
特定のアクションへのアクセスの制限に加えて、組織内の特定のエンティティへのアクセスを制限できます。前のセクションの例の `Resource` 要素は、両方ワイルドカード文字 (\$1) を指定します。つまり、「アクションがアクセスできる任意のリソース」を意味します。代わりに、「\$1」をアクセスを許可する特定のエンティティの Amazon リソースネーム (ARN) で置き換えることができます。
**例: 単一の OU にアクセス許可を付与する**
次のポリシーの最初のステートメントは、IAM ユーザーに組織全体への読み取りアクセスを許可していますが、2 番目のステートメントでは、ユーザーは指定された単一の組織単位 (OU) 内でのみ AWS Organizations 管理アクションの実行が許可されます。これは、子 OU には適用されません。請求へのアクセスは付与されません。これにより、OU AWS アカウント の への管理アクセスは許可されないことに注意してください。指定した OU 内のアカウントに対して AWS Organizations オペレーションを実行するアクセス許可のみを付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:Describe*",
"organizations:List*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "arn:aws:organizations::123456789012:ou/o-/ou-"
}
]
}
```
------
OU と組織の IDs は、 AWS Organizations コンソールから、または `List*` APIs。このポリシーを適用されたユーザーまたはグループは、OU に直接含まれるエンティティに対して任意のアクション (`"organizations:*"`) を実行できます。OU は Amazon リソースネーム (ARN) によって識別されます。
ARN に関するその他リソースについては、「*Service Authorization Reference*」の「[Resources types defined by AWS Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-resources-for-iam-policies)」を参照してください。
## 制限付きサービスプリンシパルに信頼されたアクセスを有効にするための権限を付与する
ポリシーステートメントの `Condition` 要素を使用して、ポリシーステートメントの一致をさらに制限することができます。
**例: 特定した 1 つのサービスに信頼されたアクセスを有効にするための権限を付与する**
次のステートメントは、特定したサービスのみに信頼されたアクセスを有効にするための制限方法を示しています。ユーザーが別のサービスプリンシパルで API を呼び出そうとすると AWS IAM アイデンティティセンター、このポリシーは一致せず、リクエストは拒否されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "organizations:EnableAWSServiceAccess",
"Resource": "*",
"Condition": {
"StringEquals" : {
"organizations:ServicePrincipal" : "sso.amazonaws.com"
}
}
}
]
}
```
------
ARN に関するその他リソースについては、「*Service Authorization Reference*」の「[Resources types defined by AWS Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-resources-for-iam-policies)」を参照してください。
# のリソースベースのポリシーの例 AWS Organizations
以下はリソースベースの委任ポリシーを使用する方法の例です。詳細については、「[の委任管理者 AWS Organizations](orgs_delegate_policies.md)」を参照してください。
**Topics**
+ [組織、OU、アカウント、ポリシーを表示する](#orgs_delegate_policies_example_view_accts_orgs)
+ [ポリシーの作成、読み取り、更新、削除](#orgs_delegate_policies_example_crud_policies)
+ [タグとタグ解除ポリシー](#orgs_delegate_policies_example_tag_untag_policies)
+ [単一の OU またはアカウントにポリシーをアタッチする](#orgs_delegate_policies_example_attach_policies)
+ [組織のバックアップポリシーを管理するための一括アクセス許可](#orgs_delegate_policies_example_consolidate_permissions)
## 例: 組織、OU、アカウント、ポリシーの表示
ポリシーの管理を委任する前に、組織の階層構造を移動したり、組織単位 (OU)、アカウント、およびそれらにアタッチされているポリシーを表示するために、アクセス許可を委任する必要があります。
以下は、これらのアクセス許可をメンバーアカウント *AccountId* のリソースベースの委任ポリシーに含める方法の例です。
**重要**
このポリシーを使用して Organizations 読み取り専用アクションを委任することは可能ですが、この例で示されているように、必要最小限のアクションのみにアクセス許可を付与することをおすすめします。
この委任ポリシーの例では、 AWS API または からプログラムでアクションを完了するために必要なアクセス許可を付与します AWS CLI。この委任ポリシーを使用するには、*AccountId* の AWS [プレースホルダーテキスト](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)を独自の情報に置き換えます。次に、[の委任管理者 AWS Organizations](orgs_delegate_policies.md) の指示に従ってください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy",
"organizations:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## 例: ポリシーの作成、読み取り、更新、削除
リソースベースの委任ポリシーを作成して、管理アカウントが任意のポリシータイプの `create`、`read`、`update`、および `delete` アクションを委任できるようにします。この例では、サービスコントロールポリシーのこれらのアクションをメンバーアカウントである *MemberAccountId* に委任する方法を示しています。この例に示す 2 つのリソースは、それぞれカスタマー管理ポリシーと AWS マネージドサービスコントロールポリシーへのアクセスを許可します。
**重要**
このポリシーにより、委任管理者は管理アカウントを含む組織内の任意のアカウントで作成したポリシーに対して指定されたアクションを実行できます。
委任された管理者は、`organizations:AttachPolicy` および `organizations:DetachPolicy` アクションを実行するために必要なアクセス許可が含まれていないため、ポリシーをアタッチまたはデタッチすることはできません。
この委任ポリシーの例では、 AWS API または からプログラムでアクションを完了するために必要なアクセス許可を付与します AWS CLI。*MemberAccountId*、*ManagementAccountId*、および *OrganizationId* の AWS プレースホルダーテキストを独自の情報に置き換えます。次に、[の委任管理者 AWS Organizations](orgs_delegate_policies.md) の指示に従ってください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingDescribeListActionsWithoutCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingPolicyActionsWithCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "SERVICE_CONTROL_POLICY"
}
}
},
{
"Sid": "DelegatingMinimalActionsForSCPs",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy"
],
"Resource": [
"arn:aws:organizations::111122223333:policy/o-OrganizationId/service_control_policy/*",
"arn:aws:organizations::aws:policy/service_control_policy/*"
]
}
]
}
```
------
## 例: タグとタグ解除ポリシー
この例では、委任された管理者がバックアップポリシーにタグ付けまたはタグ解除できるようにするリソースベースの委任ポリシーを作成する方法を紹介します。 AWS API または からプログラムでアクションを実行するために必要なアクセス許可を付与します AWS CLI。
この委任ポリシーを使用するには、*MemberAccountId*、*ManagementAccountId*、および *OrganizationId* の AWS プレースホルダーテキストを、お使いのアカウントや組織の情報に置き換えます。次に、[の委任管理者 AWS Organizations](orgs_delegate_policies.md) の指示に従ってください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActionsWithoutCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingNecessaryDescribeListActionsWithCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "DelegatingTaggingBackupPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:TagResource",
"organizations:UntagResource"
],
"Resource": "arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
}
]
}
```
------
## 例: 単一の OU またはアカウントにポリシーをアタッチする
この例では、指定された組織単位 (OU) または指定されたアカウントから `attach` または `detach` Organizations ポリシーへの委任管理者を許可するリソースベースの委任ポリシーを作成する方法を示します。これらのアクションを委任する前に、組織の構造をナビゲートするアクセス許可を委任し、その下のアカウントを確認する必要があります。詳細については、「[例: 組織、OU、アカウント、ポリシーの表示](#orgs_delegate_policies_example_view_accts_orgs)」を参照してください。
**重要**
このポリシーでは、指定された OU またはアカウントからのポリシーのアタッチまたはデタッチが許可されますが、子 OU および子 OU の下のアカウントは除外されます。
このポリシーにより、委任管理者は管理アカウントを含む組織内の任意のアカウントで作成したポリシーに対して指定されたアクションを実行できます。
この委任ポリシーの例では、 AWS API または からプログラムでアクションを完了するために必要なアクセス許可を付与します AWS CLI。この委任ポリシーを使用するには、*MemberAccountId*、*ManagementAccountId*、*OrganizationId*、および *TargetAccountId* の AWS プレースホルダーテキストを、お使いのアカウントや組織の情報に置き換えます。次に、[の委任管理者 AWS Organizations](orgs_delegate_policies.md) の指示に従ってください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "AttachDetachPoliciesSpecifiedAccountOU",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::111122223333:ou/o-OrganizationId/ou-OUId",
"arn:aws:organizations::111122223333:account/o-OrganizationId/TargetAccountId",
"arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
]
}
]
}
```
------
Organizations の任意の OU またはアカウントにポリシーのアタッチとデタッチを委任するには、前の例のリソースを次のリソースに置き換えます。
```
"Resource": [
"arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/*",
"arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/*",
"arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
]
```
## 例: 組織のバックアップポリシーを管理するための一括アクセス許可
以下は `create`、`read`、`update`、`delete` アクションや `attach`、`detach` のポリシーアクションなど、組織内のバックアップポリシーを管理するために必要なすべてのアクセス許可を管理アカウントが委任できるようにする、リソースベースの委任ポリシーを作成する方法の例です。
**重要**
このポリシーにより、委任管理者は管理アカウントを含む組織内の任意のアカウントで作成したポリシーに対して指定されたアクションを実行できます。
この委任ポリシーの例では、 AWS API または からプログラムでアクションを完了するために必要なアクセス許可を付与します AWS CLI。この委任ポリシーを使用するには、*MemberAccountId*、*ManagementAccountId*、*OrganizationId*、および *RootId* の AWS [プレースホルダーテキスト](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)を、お使いのアカウントや組織の情報に置き換えます。次に、[の委任管理者 AWS Organizations](orgs_delegate_policies.md) の指示に従ってください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingNecessaryDescribeListActionsForSpecificPolicyType",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "DelegatingAllActionsForBackupPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:CreatePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"organizations:EnablePolicyType",
"organizations:DisablePolicyType"
],
"Resource": [
"arn:aws:organizations::111122223333:root/o-OrganizationId/r-RootId",
"arn:aws:organizations::111122223333:ou/o-OrganizationId/*",
"arn:aws:organizations::111122223333:account/o-OrganizationId/*",
"arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
}
]
}
```
------
# AWS の 管理ポリシー AWS Organizations
このセクションでは、組織の管理に使用する AWSマネージドポリシーについて説明します。 AWS 管理ポリシーを変更または削除することはできませんが、必要に応じて組織内のエンティティにアタッチまたはデタッチできます。
## AWS Organizations AWS Identity and Access Management (IAM) で使用する マネージドポリシー
IAM管理ポリシーは、 AWSによって提供され、維持されます。管理ポリシーは、管理ポリシーを適切な IAM ユーザーまたはロールオブジェクトにアタッチすることでユーザーに割り当てることができる、一般的なタスクに対するアクセス許可を提供します。ポリシーを自分で記述する必要はありません。 が新しいサービスをサポートするために必要に応じてポリシー AWS を更新すると、自動的にすぐに更新のメリットが得られます。
AWS 管理ポリシーのリストは、IAM コンソールの [[Policies](https://console.aws.amazon.com/iam/home?#/policies)] (ポリシー) ページで確認できます。**[Filter policies]** (フィルターポリシー) のドロップダウンを使用して、**[AWS managed]** ( マネージド) を選択します。
以下の管理ポリシーを使用して、組織のユーザーにアクセス許可を付与できます
### AWS マネージドポリシー: AWSOrganizationsFullAccess
組織を作成し、完全に管理するために必要なすべてのアクセス許可を提供します。
ポリシーを表示: [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html)。
### AWS 管理ポリシー: AWSOrganizationsReadOnlyAccess
組織に関する情報への読み取り専用アクセスを提供します。ユーザーがこれに変更を加えることはできません。
ポリシーを表示: [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html)。
### AWS 管理ポリシー: DeclarativePoliciesEC2Report
このポリシーは、[AWSServiceRoleForDeclarativePoliciesEC2Report](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#ec2-report-policy) サービスにリンクされたロールによって使用され、メンバーアカウントのアカウント属性の状態を記述できるようにします。
ポリシーを表示する: [DeclarativePoliciesEC2Report](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/DeclarativePoliciesEC2Report.html)。
## Organizations AWS 管理ポリシーの更新
次の表は、このサービスがこれらの変更の追跡を開始してからの AWS マネージドポリシーの更新の詳細を示しています。このページの変更に関する自動通知については、「[Document History](document-history.md)」ページの RSS フィードをサブスクライブしてください。
****
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor) – Organizations コンソールでアカウント名を確認または変更するために必要な API アクセス許可をアカウントに付与できるように更新されました。 | 組織内の任意のアカウントのアカウント名を表示するアクセスを有効にする `account:GetAccountInformation` アクションと、組織内の任意のアカウント名を変更するアクセスを有効にする `account:PutAccountName` アクションを追加しました。 | 2025 年 4 月 22 日 |
| [DeclarativePoliciesEC2Report](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/DeclarativePoliciesEC2Report$jsonEditor) – 新しい管理ポリシー | `AWSServiceRoleForDeclarativePoliciesEC2Report` サービスにリンクされたロールの機能を有効にする `DeclarativePoliciesEC2Report` ポリシーを追加しました。 | 2024 年 11 月 22 日 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor) – ルートユーザー E メールアドレスの確認に必要なアカウント API アクセス許可を付与できるように更新されました。 | `account:GetPrimaryEmail` アクションが追加され、組織内の任意のメンバーアカウントについて、ルートユーザー E メールアドレスを確認できるようになりました。また、`account:GetRegionOptStatus` アクションが追加され、組織内の任意のメンバーアカウントについて有効化されているリージョンを確認することもできるようになりました。 | 2024 年 6 月 6 日 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor) – ポリシーステートメントを記述する `Sid` 要素を含めるように更新されました。 | `AWSOrganizationsFullAccess` マネージドポリシーの `Sid` 要素が追加されました。 | 2024 年 2 月 6 日 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor) – ポリシーステートメントを記述する `Sid` 要素を含めるように更新されました。 | `AWSOrganizationsReadOnlyAccess` マネージドポリシーの `Sid` 要素が追加されました。 | 2024 年 2 月 6 日 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor) - Organizations コンソールを介して AWS リージョン を有効化または無効化するために必要な API アクセス許可をアカウントに付与できるように更新されました。 | ポリシーに `account:ListRegions`、`account:EnableRegion`、および `account:DisableRegion` アクションが追加され、アカウントのリージョンを有効または無効にするための書き込みアクセス許可を有効化できるようにしました。 | 2022 年 12 月 22 日 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor) – Organizations コンソール AWS リージョン を介した一覧表示に必要なアカウント API アクセス許可を許可するように更新されました。 | ポリシーに `account:ListRegions` アクションが追加され、アカウントのリージョンを確認するためのアクセス許可を有効化できるようにしました。 | 2022 年 12 月 22 日 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor) - Organizations コンソールを介してアカウントの連絡先を追加または編集するために必要な API アクセス許可をアカウントに付与できるように更新されました。 | ポリシーに `account:GetContactInformation` および `account:PutContactInformation` アクションが追加され、アカウントの連絡先を変更するための書き込みアクセス許可を有効化できるようにしました。 | 2022 年 10 月 21 日 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor) - Organizations コンソールを介してアカウントの連絡先を表示するために必要な API アクセス許可をアカウントに付与できるように更新されました。 | ポリシーに `account:GetContactInformation` アクションが追加され、アカウントの連絡先を確認するためのアクセス許可を有効化できるようにしました。 | 2022 年 10 月 21 日 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor) — 組織を作成できるように更新されました。 | `CreateServiceLinkedRole` アクセス許可がポリシーに追加され、組織の作成に必要なサービスリンクロールの作成を許可できるようになりました。アクセス許可は、`organizations.amazonaws.com` のサービスのみで使用できるロールの作成に制限されています。 | 2022 年 8 月 24 日 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor) – Organizations コンソールでアカウントの代替連絡先を追加、編集、または削除するために必要な API アクセス許可をアカウントに付与できるように更新されました。 | ポリシーに `account:GetAlternateContact`、`account:DeleteAlternateContact`、および `account:PutAlternateContact` アクションが追加され、アカウントの代替連絡先を変更するための書き込みアクセス許可を有効化できるようになりました。 | 2022 年 2 月 7 日 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor) – Organizations コンソールでアカウントの代替連絡先を表示するために必要な API アクセス許可をアカウントに付与できるように更新されました。 | ポリシーに `account:GetAlternateContact` アクションが追加され、アカウントの代替連絡先を確認するためのアクセス許可を有効化できるようになりました。 | 2022 年 2 月 7 日 |
## AWS マネージド認可ポリシー
[認可ポリシー](orgs_manage_policies_authorization_policies.md)は IAM アクセス許可ポリシーに似ていますが、IAM AWS Organizations ではなく の機能です。認可ポリシーを使用することで、各メンバーアカウントのプリンシパルとリソースのアクセスを一元的に設定および管理できます。
Organizations コンソール の [[Policies](https://console.aws.amazon.com/organizations/?#/policies)] (ポリシー) ページに、組織内のポリシーのリストが表示されます。
****
| ポリシー名 | 説明 | ARN |
| --- | --- | --- |
| [FullAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy/p-FullAWSAccess) | すべてのオペレーションへのアクセスを許可します。 | arn:aws:organizations::aws:policy/service\$1control\$1policy/p-FullAWSAccess |
| [RCPFullAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/resource-control-policy/p-RCPFullAWSAccess) | すべてのリソースへのアクセスを許可します。 | arn:aws:organizations::aws:policy/resource\$1control\$1policy/p-RCPFullAWSAccess |
# のタグを使用した属性ベースのアクセスコントロール AWS Organizations
*[属性ベースのアクセスコントロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)*を使用すると、 AWS リソースと ID AWS の両方にアタッチされた[タグ](https://docs.aws.amazon.com/ARG/latest/userguide/tag-editor.html)などの管理者管理属性を使用して、それらのリソースへのアクセスを制御できます。例えば、ユーザーとリソースの両方に特定のタグの同じ値がアタッチされている場合には、ユーザーがリソースにアクセスできるように指定できます。
AWS Organizations タグ付け可能なリソースには AWS アカウント、組織のルート、組織単位 (OUs)、またはポリシーが含まれます。Organizations リソースにタグをアタッチすると、そのタグを使用して、それらのリソースにアクセスできるユーザーを制御できます。これを行うには、アクションを許可する前に特定のタグキーと値が存在するかどうかをチェックする`Condition`要素を AWS Identity and Access Management (IAM) アクセス許可ポリシーステートメントに追加します。これにより、「キー `X` と値 `Y` を含むタグがアタッチされた OU のみの管理をユーザに許可する」または「ユーザにアタッチされたタグキー `Z` と同じ値を含むキー `Z` でタグ付けされた OU のみの管理をユーザに許可する」という効果的な IAM ポリシーを作成することができます。
IAM ポリシーのさまざまなタイプのタグリファレンスに基づいて `Condition` テストを行うことができます。
+ [リクエストによって指定されたリソースにアタッチされたタグのチェック](#abac-resource)
+ [リクエストを行う IAM ユーザーまたはロールにアタッチされているタグを確認する](#abac-prin)
+ [リクエストのパラメータとして含まれているタグをチェックする](#abac-request)
ポリシーによるアクセスコントロールでタグを使用する方法の詳細については、「[リソースタグを使用した IAM ユーザーおよびロールへのアクセスのコントロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)」を参照してください。IAM アクセス許可ポリシーの完全な構文については、「[IAM JSON ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。
## リクエストによって指定されたリソースにアタッチされたタグのチェック
AWS マネジメントコンソール、 AWS Command Line Interface (AWS CLI)、またはいずれかの AWS SDKs を使用してリクエストを行うときは、そのリクエストでアクセスするリソースを指定します。利用可能な特定のタイプのリソースの一覧表示、リソースの読み取り、リソースの書き込み、変更、更新のいずれかを行う場合は、アクセスするリソースをリクエストのパラメータとして指定します。これらのリクエストは、ユーザーとロールにアタッチする IAM アクセス許可ポリシーによって制御されます。これらのポリシーでは、リクエストされたリソースにアタッチされているタグを比較し、それらのタグのキーと値に応じてアクセスを許可または拒否できます。
リソースにアタッチされているタグを確認するには、タグキー名の前に `aws:ResourceTag/` という文字列を付けて、`Condition` 要素内のタグを参照します。
例えば、以下のポリシー例では、リソースにキー `department` と値 `security` のタグが***アタッチされない限り***、ユーザーまたはロールはすべての AWS Organizations オペレーションを実行することができます。そのキーと値が存在する場合、ポリシーによって `UntagResource` オペレーションが明示的に拒否されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : "organizations:*",
"Resource" : "*"
},
{
"Effect" : "Deny",
"Action" : "organizations:UntagResource",
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/department" : "security"
}
}
}
]
}
```
------
この要素の使用方法の詳細については、*IAM ユーザーガイド*の「[リソースへのアクセスのコントロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-resources)」および「[aws:ResourceTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag)」を参照してください。
## リクエストを行う IAM ユーザーまたはロールにアタッチされているタグを確認する
リクエストを行うユーザー (プリンシパル) が実行できるオペレーションを、そのユーザーの IAM ユーザーまたはロールにアタッチされたタグに応じて制御できます。これを行うには、`aws:PrincipalTag/key-name` 条件キーを使用して、呼び出し元のユーザーまたはロールにアタッチする必要のあるタグと値を指定します。
次の例では、指定されたタグ (`cost-center`) が、オペレーションを呼び出すプリンシパルと、オペレーションによってアクセスされるリソースの両方に同じ値が含まれる場合にのみ、アクションを許可する方法について説明します。この例では、呼び出し元ユーザーは、インスタンスにユーザーと同じ `cost-center` 値がタグ付けされている場合にのみ、Amazon EC2 インスタンスを開始および停止できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"ec2:startInstances",
"ec2:stopInstances"
],
"Resource": "*",
"Condition": {"StringEquals":
{"ec2:ResourceTag/cost-center": "${aws:PrincipalTag/cost-center}"}}
}
}
```
------
この要素の使用方法の詳細については、*IAM ユーザーガイド*の「[IAM プリンシパルのアクセスのコントロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-principals)」および「[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag)」を参照してください。
## リクエストのパラメータとして含まれているタグをチェックする
いくつかのオペレーションでは、リクエストの一部としてタグを指定できます。例えば、リソースを作成する際に、新しいリソースにアタッチされるタグを指定できます。`aws:TagKeys` を使用する `Condition` 要素を指定し、特定のタグキーまたはキーのセットがリクエストに含まれているかどうかによって、オペレーションを許可または拒否できます。この比較演算子では、タグにどのような値が含まれていても問題ありません。指定されたキーのタグが存在するかどうかだけがチェックされます。
タグキーまたはキーのリストを確認するには、次の構文で `Condition` 要素を指定します。
```
"aws:TagKeys": [ "tag-key-1", "tag-key-2", ... , "tag-key-n" ]
```
比較演算子の前に [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions) を使用することで、リクエストに含まれるすべてのキーが、ポリシーで指定されたキーの 1 つと確実に一致しているかどうかを確認できます。例えば次のポリシー例では、リクエストに存在するすべてのタグがこのポリシー内の ***3 つのタグのサブセット***である場合にのみ、Organizations のすべてのオペレーションが許可されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"department",
"costcenter",
"manager"
]
}
}
}
}
```
------
あるいは、[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions) を比較演算子の前に記述して使用し、リクエスト内の少なくとも 1 つのキーが、ポリシーで指定されたキーの 1 つと確実に一致しているかどうかを確認できます。例えば、次のポリシーでは、指定されたタグキーの***少なくとも*** 1 つがリクエスト内に存在する場合にのみ、Organizations のオペレーションを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"stage",
"us-east-1",
"domain"
]
}
}
}
}
```
------
複数のオペレーションによって、リクエストのタグを指定できます。例えば、リソースを作成する際に、新しいリソースにアタッチされるタグを指定できます。ポリシー内のタグキーと値のペアと、リクエストに含まれるキーと値のペアを比較できます。これを行うには、タグのキー名の前に `aws:RequestTag/key-name` という文字列を付けて `Condition` 要素内のタグを参照し、含まれるべきタグの値を指定します。
たとえば、次のサンプルポリシーは、ユーザーまたはロールによる、リクエストに `costcenter` タグが欠落 AWS アカウント している の作成リクエストを拒否するか、そのタグに `1`、、`2`または 以外の値を提供します`3`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "organizations:CreateAccount",
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/costcenter": "true"
}
}
},
{
"Effect": "Deny",
"Action": "organizations:CreateAccount",
"Resource": "*",
"Condition": {
"ForAnyValue:StringNotEquals": {
"aws:RequestTag/costcenter": [
"1",
"2",
"3"
]
}
}
}
]
}
```
------
これらの要素を使用する方法の詳細については、*IAM ユーザーガイド*の「[aws:TagKeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys)」および「[aws:RequestTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag)」を参照してください。
# AWS Organizations ID とアクセスのトラブルシューティング
次の情報は、Organizations と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復に役立ちます。
**Topics**
+ [Organizations でアクションを実行する権限がない](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole を実行する権限がありません](#security_iam_troubleshoot-passrole)
+ [自分の 以外のユーザーに Organizations リソース AWS アカウント へのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)
## Organizations でアクションを実行する権限がない
アクションを実行する権限がないというエラーが表示された場合は、そのアクションを実行できるようにポリシーを更新する必要があります。
次のエラー例は、`mateojackson` IAM ユーザーがコンソールを使用して、ある `my-example-widget` リソースに関する詳細情報を表示しようとしたことを想定して、その際に必要な `organizations:GetWidget` アクセス許可を持っていない場合に発生するものです。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: organizations:GetWidget on resource: my-example-widget
```
この場合、`organizations:GetWidget` アクションを使用して `my-example-widget` リソースへのアクセスを許可するように、`mateojackson` ユーザーのポリシーを更新する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン認証情報を提供した担当者が管理者です。
## iam:PassRole を実行する権限がありません
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して Organizations にロールを渡せるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、そのサービスに既存のロールを渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。
以下の例のエラーは、`marymajor` という IAM ユーザーがコンソールを使用して Organizations でアクションを実行しようする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## 自分の 以外のユーザーに Organizations リソース AWS アカウント へのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ Organizations がこれらの機能をサポートしているかどうかについては、「[が IAM と AWS Organizations 連携する方法](security_iam_service-with-iam.md)」を参照してください。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、IAM *ユーザーガイド*の[「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、「*IAM ユーザーガイド*」の「[IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)」を参照してください。
# でのログ記録とモニタリング AWS Organizations
ベストプラクティスとして、変更がログに記録されることを確実にするために組織を監視する必要があります。これにより、予期しない変更を調査でき、不要な変更をロールバックできます。 AWS Organizations は現在、組織とその内部で発生するアクティビティをモニタリング AWS のサービス できる 2 つの をサポートしています。
**Topics**
+ [AWS CloudTrail](orgs_cloudtrail-integration.md)
+ [Amazon EventBridge](orgs_cloudwatch-integration.md)
# for を使用した API コール AWS CloudTrail のログ記録 AWS Organizations
AWS Organizations は、ユーザー AWS CloudTrail、ロール、または のサービスによって実行されたアクションを記録する AWS サービスである と統合されています AWS Organizations。CloudTrail は、 AWS Organizations コンソールからの呼び出しや API へのコード呼び出しを含む、 のすべての API コールをイベント AWS Organizations としてキャプチャします。 AWS Organizations APIs 証跡を作成する場合は、イベントを含む Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます AWS Organizations。証跡を設定しない場合でも、CloudTrail コンソールの **[イベント履歴]** で最新のイベントを表示できます。CloudTrail で収集された情報を使用して、リクエスト、リクエスト元の AWS Organizations IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。
CloudTrail の詳細については、「*AWS CloudTrail ユーザーガイド*」を参照してください。
**重要**
のすべての CloudTrail 情報は、米国東部 (バージニア北部) リージョン AWS Organizations でのみ表示できます。CloudTrail コンソールに AWS Organizations アクティビティが表示されない場合は、右上隅のメニューを使用してコンソールを**米国東部 (バージニア北部)** に設定します。 AWS CLI または SDK ツールを使用して CloudTrail にクエリを実行する場合は、クエリを米国東部 (バージニア北部) エンドポイントに転送します。
## AWS Organizations CloudTrail の情報
CloudTrail は、アカウントの作成 AWS アカウント 時に で有効になります。アクティビティが発生すると AWS Organizations、そのアクティビティはイベント**履歴**の他の AWS サービスイベントとともに CloudTrail イベントに記録されます。で最近のイベントを表示、検索、ダウンロードできます AWS アカウント。詳細については、[CloudTrail イベント履歴でのイベントの表示](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)を参照してください。
AWS Organizationsのイベントなど、 AWS アカウントのイベントの継続的な記録に対して、追跡を作成します。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。で CloudTrail ログ記録が有効になっている場合 AWS アカウント、 AWS Organizations アクションに対する API コールは CloudTrail ログファイルで追跡され、他の AWS サービスレコードとともに書き込まれます。CloudTrail ログで収集されたイベントデータをさらに分析して処理 AWS のサービス するように他の を設定できます。詳細については、次を参照してください:
+ [証跡の作成のための概要](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail がサポートするサービスと統合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [CloudTrail 用 Amazon SNS 通知の構成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
すべての AWS Organizations アクションは CloudTrail によってログに記録され、 [AWS Organizations API リファレンス](https://docs.aws.amazon.com/organizations/latest/APIReference/)に記載されています。例えば、`CreateAccount` (`CreateAccountResult` イベントを含む)、`ListHandshakesForAccount`、`CreatePolicy`、および `InviteAccountToOrganization` に対する呼び出しにより、CloudTrail ログファイルにエントリが生成されます。
各ログエントリには、リクエストの生成者に関する情報が含まれます。ログエントリのユーザーアイデンティティ情報は、次のことを確認するのに役立ちます。
+ リクエストが、ルートユーザーまたは IAM ユーザーのどちらの認証情報を使用して送信されたかどうか
+ リクエストが、[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)の一時的なセキュリティ認証情報または[フェデレーティッドユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)によって行われたかどうか
+ リクエストが別の AWS サービスによって行われたかどうか
詳細については、「[CloudTrail userIdentity 要素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)」を参照してください。
**注記**
CloudTrail は、特定のアクションを実行するアカウント (つまり、メンバーアカウントがアクションを実行した場合、管理アカウントではなくメンバーアカウント) のイベントを記録します。たとえば、組織を離れるメンバーアカウントはメンバーアカウントの証跡にログインし、メンバーアカウントを削除する管理アカウントは管理アカウントの証跡にログインします。
## AWS Organizations ログファイルエントリについて
「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail のログファイルは、単一か複数のログエントリを含みます。イベントは、任意の出典からの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API 呼び出しの順序付けられたスタックトレースではないため、特定の順序では表示されません。
### ログエントリの例: CloseAccount
次の例は、API が呼び出され、アカウントを閉鎖するワークフローがバックグラウンドで処理を開始する際に生成されるサンプルの `CloseAccount` 呼び出しの CloudTrail ログエントリを示しています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE:my-admin-role",
"arn": "arn:aws:sts::111122223333:assumed-role/my-admin-role/my-session-id",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/my-admin-role",
"accountId": "111122223333",
"userName": "my-session-id"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2022-03-18T18:17:06Z"
}
}
},
"eventTime": "2022-03-18T18:17:06Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CloseAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": {
"accountId": "555555555555"
},
"responseElements": null,
"requestID": "e28932f8-d5da-4d7a-8238-ef74f3d5c09a",
"eventID": "19fe4c10-f57e-4cb7-a2bc-6b5c30233592",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
次の例は、アカウントを閉鎖するためのバックグラウンドワークフローが正常に完了した後の `CloseAccountResult` 呼び出しの CloudTrail ログエントリを示しています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "organizations.amazonaws.com"
},
"eventTime": "2022-03-18T18:17:06Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CloseAccountResult",
"awsRegion": "us-east-1",
"sourceIPAddress": "organizations.amazonaws.com",
"userAgent": "organizations.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": false,
"eventType": "AwsServiceEvent",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"closeAccountStatus": {
"accountId": "555555555555",
"state": "SUCCEEDED",
"requestedTimestamp": "Mar 18, 2022 6:16:58 PM",
"completedTimestamp": "Mar 18, 2022 6:16:58 PM"
}
},
"eventCategory": "Management"
}
```
### ログエントリの例: CreateAccount
次の例は、API が呼び出され、アカウントを作成するワークフローがバックグラウンドで処理を開始する際に生成されるサンプルの `CreateAccount` 呼び出しの CloudTrail ログエントリを示しています。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE:my-admin-role",
"arn": "arn:aws:sts::111122223333:assumed-role/my-admin-role/my-session-id",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/my-admin-role",
"accountId": "111122223333",
"userName": "my-session-id"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2020-09-16T21:16:45Z"
}
}
},
"eventTime": "2018-06-21T22:06:27Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CreateAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)...",
"requestParameters": {
"tags": [],
"email": "****",
"accountName": "****"
},
"responseElements": {
"createAccountStatus": {
"accountName": "****",
"state": "IN_PROGRESS",
"id": "car-examplecreateaccountrequestid111",
"requestedTimestamp": "Sep 16, 2020 9:20:50 PM"
}
},
"requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
次の例は、アカウントを作成するためのバックグラウンドワークフローが正常に完了した後の `CreateAccount` 呼び出しの CloudTrail ログエントリを示しています。
```
{
"eventVersion": "1.05",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "..."
},
"eventTime": "2020-09-16T21:20:53Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CreateAccountResult",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "....",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": false,
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"createAccountStatus": {
"id": "car-examplecreateaccountrequestid111",
"state": "SUCCEEDED",
"accountName": "****",
"accountId": "444455556666",
"requestedTimestamp": "Sep 16, 2020 9:20:50 PM",
"completedTimestamp": "Sep 16, 2020 9:20:53 PM"
}
}
}
```
次の例は、`CreateAccount` バックグラウンドワークフローがアカウントの作成に失敗した後に生成される CloudTrail ログエントリを示しています。
```
{
"eventVersion": "1.06",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-06-21T22:06:27Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CreateAccountResult",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": false,
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"createAccountStatus": {
"id": "car-examplecreateaccountrequestid111",
"state": "FAILED",
"accountName": "****",
"failureReason": "EMAIL_ALREADY_EXISTS",
"requestedTimestamp": Jun 21, 2018 10:06:27 PM,
"completedTimestamp": Jun 21, 2018 10:07:15 PM
}
}
}
```
### ログエントリの例: CreateOrganizationalUnit
サンプルの `CreateOrganizationalUnit` 呼び出しの CloudTrail ログエントリの例を以下に示します。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111111111111:user/diego",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "diego"
},
"eventTime": "2017-01-18T21:40:11Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CreateOrganizationalUnit",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36",
"requestParameters": {
"name": "OU-Developers-1",
"parentId": "r-a1b2"
},
"responseElements": {
"organizationalUnit": {
"arn": "arn:aws:organizations::111111111111:ou/o-aa111bb222/ou-examplerootid111-exampleouid111",
"id": "ou-examplerootid111-exampleouid111",
"name": "test-cloud-trail",
"path": "o-aa111bb222/r-a1b2/ou-examplerootid111-exampleouid111/"
}
},
"requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
### ログエントリの例: InviteAccountToOrganization
サンプルの `InviteAccountToOrganization` 呼び出しの CloudTrail ログエントリの例を以下に示します。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111111111111:user/diego",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "diego"
},
"eventTime": "2017-01-18T21:41:17Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "InviteAccountToOrganization",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36",
"requestParameters": {
"notes": "This is a request for Mary's account to join Diego's organization.",
"target": {
"type": "ACCOUNT",
"id": "111111111111"
}
},
"responseElements": {
"handshake": {
"requestedTimestamp": "Jan 18, 2017 9:41:16 PM",
"state": "OPEN",
"arn": "arn:aws:organizations::111111111111:handshake/o-aa111bb222/invite/h-examplehandshakeid111",
"id": "h-examplehandshakeid111",
"parties": [
{
"type": "ORGANIZATION",
"id": "o-aa111bb222"
},
{
"type": "ACCOUNT",
"id": "222222222222"
}
],
"action": "invite",
"expirationTimestamp": "Feb 2, 2017 9:41:16 PM",
"resources": [
{
"resources": [
{
"type": "MASTER_EMAIL",
"value": "diego@example.com"
},
{
"type": "MASTER_NAME",
"value": "Management account for organization"
},
{
"type": "ORGANIZATION_FEATURE_SET",
"value": "ALL"
}
],
"type": "ORGANIZATION",
"value": "o-aa111bb222"
},
{
"type": "ACCOUNT",
"value": "222222222222"
},
{
"type": "NOTES",
"value": "This is a request for Mary's account to join Diego's organization."
}
]
}
},
"requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
### ログエントリの例: AttachPolicy
サンプルの `AttachPolicy` 呼び出しの CloudTrail ログエントリの例を以下に示します。このレスポンスは、リクエストされたポリシータイプが、アタッチが試行された root で有効でないため、呼び出しが失敗したことを示します。
```
{
"eventVersion": "1.06",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111111111111:user/diego",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "diego"
},
"eventTime": "2017-01-18T21:42:44Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "AttachPolicy",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36",
"errorCode": "PolicyTypeNotEnabledException",
"errorMessage": "The given policy type ServiceControlPolicy is not enabled on the current view",
"requestParameters": {
"policyId": "p-examplepolicyid111",
"targetId": "ou-examplerootid111-exampleouid111"
},
"responseElements": null,
"requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
### ログエントリの例: 無効な有効ポリシー
サンプルの `EffectivePolicyValidation` イベントの CloudTrail ログエントリの例を以下に示します。このイベントは、組織内の更新によっていずれかのアカウントに無効な有効ポリシーが発生するたびに、組織の管理アカウントに発行されます。
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-07-17T14:53:40Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "EffectivePolicyValidation",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": true,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111111111111",
"serviceEventDetails": {
"accountId": "111111111111",
"policyType": "BACKUP_POLICY",
"state": "INVALID",
"requestTimestamp": "Jul 17, 2025, 2:53:40 PM",
"info": "All validation errors listed",
"validationErrors": [
{
"accountPath": "o-aa111bb222/r-a1b2/111111111111/",
"evaluationTimestamp": "Jul 17, 2025, 2:53:40 PM",
"errorCode": "ELEMENTS_TOO_MANY",
"errorMessage": "'hourly_rule' exceeds the allowed maximum limit 10",
"pathToError": "plans/hourly-backup/rules/hourly_rule",
"contributingPolicies": [
"p-examplepolicyid111"
]
}
]
},
"eventCategory": "Management"
}
```
### ログエントリの例: 有効な有効ポリシー
サンプルの `EffectivePolicyValidation` イベントの CloudTrail ログエントリの例を以下に示します。このイベントは、組織の更新によっていずれかのアカウントでそれまでは無効だった有効ポリシーが修正されるたびに、組織の管理アカウントに発行されます。
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111111111111",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-07-17T14:54:40Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "EffectivePolicyValidation",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": true,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111111111111",
"serviceEventDetails": {
"accountId": "111111111111",
"policyType": "BACKUP_POLICY",
"state": "VALID",
"requestTimestamp": "Jul 17, 2025, 2:54:40 PM",
"info": "Previous effective policy validation error(s) resolved for this account/policyType"
},
"eventCategory": "Management"
}
```
# Amazon EventBridge と AWS Organizations
AWS Organizations は、以前の Amazon CloudWatch Events である Amazon EventBridge と連携して、組織内で管理者指定のアクションが発生したときにイベントを発生させることができます。例えば、アクションの重要性のため、ほとんどの管理者は、組織内に誰かが新しいアカウントを作成するたびに、またはメンバーアカウントの管理者が組織を離れようとするたびに警告を受けたいと考えています。これらのアクションを探す EventBridge ルールを設定し、生成されたイベントを管理者が定義したターゲットに送信できます。受信者に E メールまたはテキストメッセージを送信する Amazon SNS トピックをターゲットに指定できます。また、後で確認するためにアクションの詳細をログに記録する AWS Lambda 関数を作成することもできます。
組織内の主要なアクティビティをモニタリングするために EventBridge を有効にする方法を紹介しているチュートリアルについては、「[チュートリアル: Amazon EventBridge を使用して、組織の重要な変更をモニタリングする](orgs_tutorials_cwe.md)」を参照してください。
**重要**
現在、 AWS Organizations は米国東部 (バージニア北部) リージョンでのみホストされています (グローバルに利用可能ですが)。このチュートリアルのステップを実行するには、そのリージョンを使用する AWS マネジメントコンソール ように を設定する必要があります。
設定や有効化の方法などを含めた EventBridge の詳細については、「*[Amazon EventBridge ユーザーガイド](https://docs.aws.amazon.com/eventbridge/latest/userguide/)*」を参照してください。
# のコンプライアンス検証 AWS Organizations
AWS のサービス が特定のコンプライアンスプログラムの範囲内にあるかどうかを確認するには、[AWS のサービス 「コンプライアンスプログラムによる対象範囲内](https://aws.amazon.com/compliance/services-in-scope/)」の「コンプライアンス」を参照し、関心のあるコンプライアンスプログラムを選択します。一般的な情報については、[AWS 「コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。
を使用して、サードパーティーの監査レポートをダウンロードできます AWS Artifact。詳細については、[「Downloading Reports in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」を参照してください。
を使用する際のお客様のコンプライアンス責任 AWS のサービス は、お客様のデータの機密性、貴社のコンプライアンス目的、適用される法律および規制によって決まります。を使用する際のコンプライアンス責任の詳細については AWS のサービス、[AWS 「 セキュリティドキュメント](https://docs.aws.amazon.com/security/)」を参照してください。
# の耐障害性 AWS Organizations
AWS グローバルインフラストラクチャは、 AWS リージョン およびアベイラビリティーゾーンを中心に構築されています。 は、低レイテンシー、高スループット、および高度に冗長なネットワークで接続された、物理的に分離および分離された複数のアベイラビリティーゾーン AWS リージョン を提供します。アベイラビリティーゾーンでは、アベイラビリティーゾーン間で中断せずに、自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、耐障害性、およびスケーラビリティが優れています。
AWS リージョン およびアベイラビリティーゾーンの詳細については、[AWS 「 グローバルインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure/)」を参照してください。
# のインフラストラクチャセキュリティ AWS Organizations
マネージドサービスである AWS Organizations は、 AWS グローバルネットワークセキュリティで保護されています。 AWS セキュリティサービスと がインフラストラクチャ AWS を保護する方法については、[AWS 「 クラウドセキュリティ](https://aws.amazon.com/security/)」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して環境を AWS 設計するには、*「Security Pillar AWS Well‐Architected Framework*」の[「Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)」を参照してください。
AWS 公開された API コールを使用して、ネットワーク経由で Organizations にアクセスします。クライアントは以下をサポートする必要があります。
+ Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。
コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-2 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-2](https://aws.amazon.com/compliance/fips/)」を参照してください。