翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Trusted Advisor のサービスコントロールポリシーの例
AWS Trusted Advisor は、サービスコントロールポリシー (SCPs) をサポートします。SCPs は、組織内のアクセス許可を管理するために組織内の要素にアタッチするポリシーです。は、 をアタッチする 要素SCPのすべての AWS アカウントSCPに適用されます。SCPs は、組織内のすべてのアカウントで使用可能な最大アクセス許可を一元的に制御できます。これらは、 AWS アカウントが組織のアクセスコントロールガイドラインに従っていることを確認するのに役立ちます。詳細については、AWS Organizations ユーザーガイドの「サービスコントロールポリシー」を参照してください。
前提条件
を使用するにはSCPs、まず次の操作を行う必要があります。
-
組織内のすべての機能の有効化。詳細については、「AWS Organizations ユーザーガイド」の「組織内のすべての機能の有効化」を参照してください。
-
を組織内で使用SCPsできるようにします。詳細については、「AWS Organizations ユーザーガイド」の「ポリシータイプの有効化と無効化」を参照してください。
-
必要な SCPsを作成します。の作成の詳細についてはSCPs、「 ユーザーガイド」の「サービスコントロールポリシーの作成、更新、削除AWS Organizations 」を参照してください。
サービスコントロールポリシーの例
以下の例では、組織内のリソース共有のさまざまな側面を制御する方法を説明します。
例 : Trusted Advisor Engage でユーザーがエンゲージメントを作成または編集できないようにする
以下SCPでは、ユーザーが新しいエンゲージメントを作成したり、既存のエンゲージメントを編集したりすることはできません。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "trustedadvisor:CreateEngagement", "trustedadvisor:UpdateEngagement*" ], "Resource": [ "*" ] } ] }
例 : Trusted Advisor Engage と Trusted Advisor Priority Access を拒否する
以下SCPでは、ユーザーが Engage と Trusted Advisor Priority Trusted Advisor 内のアクションにアクセスしたり、アクションを実行したりすることを防ぎます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "trustedadvisor:ListEngagement*", "trustedadvisor:GetEngagement*", "trustedadvisor:CreateEngagement*", "trustedadvisor:UpdateEngagement*", "trustedadvisor:DescribeRisk*", "trustedadvisor:UpdateRisk*", "trustedadvisor:DownloadRisk" ], "Resource": [ "*" ] } ] }