組織、OU、アカウント、ポリシーを表示するポリシーの作成、読み取り、更新、削除タグとタグ解除ポリシー単一の OU またはアカウントにポリシーをアタッチする組織のバックアップポリシーを管理するための一括アクセス許可

のリソースベースのポリシーの例 AWS Organizations

以下はリソースベースの委任ポリシーを使用する方法の例です。詳細については、「の委任管理者 AWS Organizations」を参照してください。

トピック

組織、OU、アカウント、ポリシーを表示する
ポリシーの作成、読み取り、更新、削除
タグとタグ解除ポリシー
単一の OU またはアカウントにポリシーをアタッチする
組織のバックアップポリシーを管理するための一括アクセス許可

例: 組織、OU、アカウント、ポリシーの表示

ポリシーの管理を委任する前に、組織の階層構造を移動したり、組織単位 (OU)、アカウント、およびそれらにアタッチされているポリシーを表示するために、アクセス許可を委任する必要があります。

以下は、これらのアクセス許可をメンバーアカウント AccountId のリソースベースの委任ポリシーに含める方法の例です。

重要

このポリシーを使用して Organizations 読み取り専用アクションを委任することは可能ですが、この例で示されているように、必要最小限のアクションのみにアクセス許可を付与することをおすすめします。

この委任ポリシーの例では、 AWS API またはからプログラムでアクションを完了するために必要なアクセス許可を付与します AWS CLI。この委任ポリシーを使用するには、AccountId の AWS プレースホルダーテキストを独自の情報に置き換えます。次に、の委任管理者 AWS Organizations の指示に従ってください。

例: ポリシーの作成、読み取り、更新、削除

リソースベースの委任ポリシーを作成して、管理アカウントが任意のポリシータイプの create、read、update、および delete アクションを委任できるようにします。この例では、サービスコントロールポリシーのこれらのアクションをメンバーアカウントである MemberAccountId に委任する方法を示しています。この例に示す 2 つのリソースは、それぞれカスタマー管理ポリシーと AWS マネージドサービスコントロールポリシーへのアクセスを許可します。

重要

このポリシーにより、委任管理者は管理アカウントを含む組織内の任意のアカウントで作成したポリシーに対して指定されたアクションを実行できます。

委任された管理者は、organizations:AttachPolicy および organizations:DetachPolicy アクションを実行するために必要なアクセス許可が含まれていないため、ポリシーをアタッチまたはデタッチすることはできません。

この委任ポリシーの例では、 AWS API またはからプログラムでアクションを完了するために必要なアクセス許可を付与します AWS CLI。MemberAccountId、ManagementAccountId、および OrganizationId の AWS プレースホルダーテキストを独自の情報に置き換えます。次に、の委任管理者 AWS Organizations の指示に従ってください。

例: タグとタグ解除ポリシー

この例では、委任された管理者がバックアップポリシーにタグ付けまたはタグ解除できるようにするリソースベースの委任ポリシーを作成する方法を紹介します。 AWS API またはからプログラムでアクションを実行するために必要なアクセス許可を付与します AWS CLI。

この委任ポリシーを使用するには、MemberAccountId、ManagementAccountId、および OrganizationId、の AWS プレースホルダーテキストを独自の情報に置き換えます。次に、の委任管理者 AWS Organizations の指示に従ってください。

例: 単一の OU またはアカウントにポリシーをアタッチする

この例では、指定された組織単位 (OU) または指定されたアカウントから attach または detach Organizations ポリシーへの委任管理者を許可するリソースベースの委任ポリシーを作成する方法を示します。これらのアクションを委任する前に、組織の構造をナビゲートするアクセス許可を委任し、その下のアカウントを確認する必要があります。詳細については、「例: 組織、OU、アカウント、ポリシーの表示」を参照してください。

重要

このポリシーでは、指定された OU またはアカウントからのポリシーのアタッチまたはデタッチが許可されますが、子 OU および子 OU の下のアカウントは除外されます。
このポリシーにより、委任管理者は管理アカウントを含む組織内の任意のアカウントで作成したポリシーに対して指定されたアクションを実行できます。

この委任ポリシーの例では、 AWS API またはからプログラムでアクションを完了するために必要なアクセス許可を付与します AWS CLI。この委任ポリシーを使用するには、MemberAccountId、ManagementAccountId、OrganizationId、および TargetAccountId の AWS プレースホルダーテキストを独自の情報に置き換えます。次に、の委任管理者 AWS Organizations の指示に従ってください。

Organizations の任意の OU またはアカウントにポリシーのアタッチとデタッチを委任するには、前の例のリソースを次のリソースに置き換えます。



"Resource": [
    "arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/*",
    "arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/*",
    "arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
]

例: 組織のバックアップポリシーを管理するための一括アクセス許可

以下は create、read、update、delete アクションや attach、detach のポリシーアクションなど、組織内のバックアップポリシーを管理するために必要なすべてのアクセス許可を管理アカウントが委任できるようにする、リソースベースの委任ポリシーを作成する方法の例です。

重要

この委任ポリシーの例では、 AWS API またはからプログラムでアクションを完了するために必要なアクセス許可を付与します AWS CLI。この委任ポリシーを使用するには、Member AccountId、ManagementAccountId、OrganizationId、および RootId の AWS プレースホルダーテキストを独自の情報に置き換えます。次に、の委任管理者 AWS Organizations の指示に従ってください。

JSON


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DelegatingNecessaryDescribeListActions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:ListRoots",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListParents",
                "organizations:ListChildren",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DelegatingNecessaryDescribeListActionsForSpecificPolicyType",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "organizations:DescribePolicy",
                "organizations:DescribeEffectivePolicy",
                "organizations:ListPolicies",
                "organizations:ListPoliciesForTarget",
                "organizations:ListTargetsForPolicy"
            ],
            "Resource": "*",
            "Condition": {
                "StringLikeIfExists": {
                    "organizations:PolicyType": "BACKUP_POLICY"
                }
            }
        },
        {
            "Sid": "DelegatingAllActionsForBackupPolicies",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "organizations:CreatePolicy",
                "organizations:UpdatePolicy",
                "organizations:DeletePolicy",
                "organizations:AttachPolicy",
                "organizations:DetachPolicy",
                "organizations:EnablePolicyType",
                "organizations:DisablePolicyType"
            ],
            "Resource": [
                "arn:aws:organizations::111122223333:root/o-OrganizationId/r-RootId",
                "arn:aws:organizations::111122223333:ou/o-OrganizationId/*",
                "arn:aws:organizations::111122223333:account/o-OrganizationId/*",
                "arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
            ],
            "Condition": {
                "StringLikeIfExists": {
                    "organizations:PolicyType": "BACKUP_POLICY"
                }
            }
        }
    ]
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

アイデンティティベースのポリシーの例

AWS 管理ポリシー