翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Organizationsおよび のサービスコントロールポリシーの例AWS RAM
AWS RAMは、サービスコントロールポリシー (SCPsをサポートしています。SCP は、組織内のアクセス許可を管理する目的で組織内の要素にアタッチされるポリシーです。SCP は、AWS アカウントSCP をアタッチする要素の下にあるすべての に適用されます。SCP では、組織のすべてのアカウントで使用可能な最大アクセス許可を一元的に制御できます。これらは、組織のアクセスコントロールガイドラインを確実にAWS アカウント順守するのに役立ちます。詳細については、AWS Organizationsユーザーガイドの「サービスコントロールポリシー」を参照してください。
前提条件
SCP を使用するには、まず以下のことをする必要があります。
-
組織内のすべての機能の有効化。詳細については、AWS Organizationsユーザーガイドの「組織内のすべての機能の有効化」を参照してください。
-
SCP を有効にして組織内で使用できるようにするには 詳細については、AWS Organizationsユーザーガイドの「ポリシータイプの有効化と無効化」を参照してください。
-
必要な SCP を作成します。SCP の作成の詳細については、AWS Organizationsユーザーガイドの「SCP の作成および更新」を参照してください。
サービスコントロールポリシーの例
目次
以下の例では、組織内のリソース共有のさまざまな側面を制御する方法を説明します。
例 1: 外部共有を禁止する
以下の SCP は、共有ユーザーの組織外にいるプリンシパルとの共有を許可するリソース共有をユーザーが作成できないようにするものです。
AWS RAMはAPIs を個別に承認します。
例 2: 組織外の外部アカウントからのリソース共有への招待をユーザーが受け付けないようにする
次の SCP は、影響を受けるアカウントのプリンシパルがリソース共有を使用する招待を受け入れることをブロックします。共有アカウントと同じ組織内の他のアカウントと共有されているリソース共有では招待状は生成されないため、この SCP の影響を受けません。
例 3: 特定のアカウントに特定のリソースタイプの共有を許可する
以下の SCP では、アカウント 111111111111 と 222222222222 のみが、Amazon EC2 プレフィックスリストを共有する新しいリソース共有を作成し、プレフィックスリストを既存のリソース共有に関連付けることができます。
AWS RAMはAPIs を個別に承認します。
演算子 StringEqualsIfExists は、リクエストにリソースタイプパラメータが含まれていない場合、またはそのパラメータが含まれている場合はその値が指定したリソースタイプと完全に一致する場合に、リクエストを許可します。プリンシパルを含める場合は、...IfExists が必要です。
...IfExists 演算子を使用するタイミングと理由の詳細については、「IAM ユーザーズガイド」の「...IfExists 条件演算子」を参照してください。
例 4: 組織全体または組織単位との共有を禁止する
次の SCP は、組織全体または任意の組織単位とリソースを共有するリソース共有をユーザーが作成できないようにします。ユーザーは、組織AWS アカウント内の個人、または IAM ロールやユーザーと共有できます。
AWS RAMはAPIs を個別に承認します。
例 5: 特定のプリンシパルのみとの共有を許可する
以下の SCP の例では、ユーザーは組織 o-12345abcdef,、組織単位 ou-98765fedcba、およびAWS アカウント111111111111 のみとリソースを共有できます。
StringNotEqualsIfExists のような否定条件演算子を持つ "Effect": "Deny" 要素を使用している場合は、条件キーがなくてもリクエストが拒否されます。Null 条件演算子を使用して、認可時に条件キーが存在していないかどうかを確認します。
AWS RAMはAPIs を個別に承認します。
