翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Organizations および のサービスコントロールポリシーの例 AWS RAM
AWS RAM は、サービスコントロールポリシー (SCPsをサポートしています。SCP は、組織内のアクセス許可を管理する目的で組織内の要素にアタッチされるポリシーです。SCP は、SCP AWS アカウント をアタッチする要素の下にあるすべての に適用されます。SCP では、組織のすべてのアカウントで使用可能な最大アクセス許可を一元的に制御できます。これらは、組織のアクセスコントロールガイドラインを確実に AWS アカウント 順守するのに役立ちます。詳細については、AWS Organizations ユーザーガイドの「サービスコントロールポリシー」を参照してください。
前提条件
SCP を使用するには、まず以下のことをする必要があります。
-
組織内のすべての機能の有効化。詳細については、AWS Organizations ユーザーガイドの「組織内のすべての機能の有効化」を参照してください。
-
SCP を有効にして組織内で使用できるようにするには 詳細については、AWS Organizations ユーザーガイドの「ポリシータイプの有効化と無効化」を参照してください。
-
必要な SCP を作成します。SCP の作成の詳細については、AWS Organizations ユーザーガイドの「SCP の作成および更新」を参照してください。
サービスコントロールポリシーの例
目次
以下の例では、組織内のリソース共有のさまざまな側面を制御する方法を説明します。
例 1: 外部共有を禁止する
以下の SCP は、共有ユーザーの組織外にいるプリンシパルとの共有を許可するリソース共有をユーザーが作成できないようにするものです。
AWS RAM はAPIs を個別に承認します。
例 2: 組織外の外部アカウントからのリソース共有への招待をユーザーが受け付けないようにする
次の SCP は、影響を受けるアカウントのプリンシパルがリソース共有を使用する招待を受け入れることをブロックします。共有アカウントと同じ組織内の他のアカウントと共有されているリソース共有では招待状は生成されないため、この SCP の影響を受けません。
例 3: 特定のアカウントに特定のリソースタイプの共有を許可する
以下の SCP では、アカウント 111111111111 と 222222222222 のみが、Amazon EC2 プレフィックスリストを共有する新しいリソース共有を作成し、プレフィックスリストを既存のリソース共有に関連付けることができます。
AWS RAM はAPIs を個別に承認します。
演算子は、リクエストにリソースタイプパラメータが含まれていない場合、またはそのパラメータが含まれている場合、その値が指定されたリソースタイプと正確に一致するリクエストStringEqualsIfExistsを許可します。プリンシパルを含める場合は、 が必要です...IfExists。
...IfExists 演算子を使用するタイミングと理由の詳細については、「IAM ユーザーズガイド」の「...IfExists 条件演算子」を参照してください。
例 4: 組織全体または組織単位との共有を禁止する
次の SCP は、組織全体または任意の組織単位とリソースを共有するリソース共有をユーザーが作成できないようにします。ユーザーは、組織 AWS アカウント 内の個人、または IAM ロールまたはユーザーと共有できます。
AWS RAM はAPIs を個別に承認します。
例 5: 特定のプリンシパルのみとの共有を許可する
以下の SCP の例では、ユーザーは組織 o-12345abcdef,、組織単位 ou-98765fedcba、および AWS アカウント
111111111111 のみとリソースを共有できます。
などの否定された条件演算子を持つ "Effect": "Deny"要素を使用している場合StringNotEqualsIfExists、条件キーが存在しない場合でもリクエストは拒否されます。Null 条件演算子を使用して、認可時に条件キーが存在していないかどうかを確認します。
AWS RAM はAPIs を個別に承認します。
