前提条件とアクセス許可 - AWS Resource Groups とタグ
タグポリシーのコンプライアンスを評価するための前提条件アカウントのコンプライアンスを評価するためのアクセス許可組織全体のコンプライアンスを評価するためのアクセス許可 レポートを保存するための Amazon S3 バケットポリシー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

前提条件とアクセス許可

AWS Resource Groups でタグポリシーのコンプライアンスを評価する前に、要件を満たし、必要なアクセス許可を設定する必要があります。

タグポリシーのコンプライアンスを評価するための前提条件

タグポリシーのコンプライアンスを評価するには、以下のようにする必要があります。

アカウントのコンプライアンスを評価するためのアクセス許可

アカウントのリソースで非準拠のタグを検出するには、以下のアクセス許可が必要です。

  • organizations:DescribeEffectivePolicy — アカウントの有効なタグポリシーの内容を取得します。

  • tag:GetResources — アタッチされたタグポリシーに準拠していないリソースのリストを取得します。

  • tag:TagResources - タグを追加または更新します。タグを作成するには、サービス固有のアクセス許可も必要です。例えば、Amazon EC2 のリソースにタグを付けるには、ec2:CreateTags のアクセス許可が必要です。

  • tag:UnTagResources — タグを削除します。タグを削除するには、サービス固有のアクセス許可も必要です。例えば、Amazon EC2 のリソースのタグを解除するには、ec2:DeleteTags のアクセス許可が必要です。

次の IAM ポリシーの例では、アカウントのタグのコンプライアンスを評価するためのアクセス許可を提供しています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EvaluateAccountCompliance",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeEffectivePolicy",
                "tag:GetResources",
                "tag:TagResources",
                "tag:UnTagResources"
            ],
            "Resource": "*"
        }
    ]
}

詳細については、IAM ユーザーガイドの 「IAM ポリシーとアクセス許可」を参照してください。

組織全体のコンプライアンスを評価するためのアクセス許可

タグポリシーへの組織全体のコンプライアンスを評価するには、以下のアクセス許可が必要です。

  • organizations:DescribeEffectivePolicy — 組織、OU、またはアカウントにアタッチされているタグポリシーの内容を取得します。

  • tag:GetComplianceSummary — 組織内のすべてのアカウント内の非準拠リソースの概要を取得します。

  • tag:StartReportCreation — 最新のコンプライアンス評価の結果をファイルにエクスポートします。組織全体のコンプライアンスは 48 時間ごとに評価されます。

  • tag:DescribeReportCreation — レポート作成のステータスを確認します。

次の IAM ポリシーの例では、組織全体のコンプライアンスを評価するためのアクセス許可を提供しています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EvaluateOrgCompliance",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeEffectivePolicy",
                "tag:GetComplianceSummary",
                "tag:StartReportCreation",
                "tag:DescribeReportCreation"
            ],
            "Resource": "*"
        }
    ]
}

詳細については、IAM ユーザーガイドの 「IAM ポリシーとアクセス許可」を参照してください。

レポートを保存するための Amazon S3 バケットポリシー

組織全体のコンプライアンスレポートを作成するには、レポートを保存するため、タグポリシーのサービスプリンシパルに対して、米国東部 (バージニア北部) リージョンの Amazon S3 バケットへのアクセス許可を付与する必要があります。バケットに次のバケットポリシーをアタッチし、プレースホルダを実際の S3 バケット名と、ポリシーを適用する組織の管理アカウントのアカウント ID 番号に置き換えます。

{
    "Version": "2012-10-17", 
    "Statement": [ 
        { 
            "Sid": "TagPolicyACL", 
            "Effect": "Allow", 
            "Principal": { 
                "Service": [ 
                    "tagpolicies.tag.amazonaws.com" 
                 ]
            }, 
            "Action": "s3:GetBucketAcl", 
            "Resource": "arn:aws:s3:::<your-bucket-name>",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<organization-management-account-id>",
                    "aws:SourceArn": "arn:aws:tag:us-east-1:<organization-management-account-id>:*"
                }
            } 
         }, 
         { 
            "Sid": "TagPolicyBucketDelivery", 
            "Effect": "Allow", 
            "Principal": { 
                "Service": [ 
                    "tagpolicies.tag.amazonaws.com" 
                 ]
            }, 
            "Action": [ 
                "s3:PutObject", 
                "s3:PutObjectAcl"
            ], 
            "Resource": "arn:aws:s3:::<your-bucket-name>/AwsTagPolicies/<your-organization-id>/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<organization-management-account-id>",
                    "aws:SourceArn": "arn:aws:tag:us-east-1:<organization-management-account-id>:*"
                }
            }
         } 
    ] 
}