タグポリシーをアタッチおよびデタッチする - AWS Organizations
タグポリシーのデタッチ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

タグポリシーをアタッチおよびデタッチする

タグポリシーは、組織全体、組織単位 (OU)、個々のアカウントで使用できます。

  • タグポリシーを組織ルートにアタッチすると、タグポリシーはルートのすべてのメンバー OU とアカウントに適用されます。

  • OU にタグポリシーをアタッチすると、そのタグポリシーは OU に属するアカウントに適用されます。これらのアカウントには、組織ルートにアタッチされたタグポリシーも適用されます。

  • タグポリシーをアカウントにアタッチすると、そのタグポリシーがアカウントに適用されます。さらに、そのアカウントには、組織ルートにアタッチされたタグポリシー、そのアカウントが属する OU にアタッチされたタグポリシーが適用されます。

アカウントが継承する任意のタグポリシーと、アカウントに直接アタッチされたタグポリシーの集約が、有効なタグポリシーになります。詳細については、「管理ポリシーの継承を理解する」を参照してください。

重要

タグ付けされていないリソースは、結果で非準拠と表示されません。

最小アクセス許可

タグポリシーをアタッチするには、次のアクションを実行する権限が必要です。

  • organizations:AttachPolicy

タグポリシーをアタッチするには、ポリシーをアタッチするルート、OU、またはアカウントに移動します。

ルート、OU、またはアカウントに移動してタグポリシーをアタッチするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。

  2. AWS アカウント ページで、ポリシーをアタッチするルート、OU、またはアカウントを見つけ、名前を選択します。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。

  3. [Policies] (ポリシー) タブの [Tag policies] (タグポリシー) で、[Attach] (アタッチ) を選択します。

  4. 目的のポリシーを見つけて [Attach policy] (ポリシーのアタッチ) を選択します。

    [Policies] (ポリシー) タブで、アタッチされているタグポリシーのリストが更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに反映されます。

ポリシーに移動してタグポリシーをアタッチするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。

  2. タグポリシーページで、アタッチするポリシーの名前を選択します。

  3. [Targets] (ターゲット) タブで [Attach] (アタッチ) を選択します。

  4. ポリシーをアタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。

  5. Attach policy] (ポリシーのアタッチ) を選択します。

    [Targets] (ターゲット) タブで、アタッチされているタグポリシーのリストが更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに反映されます。

組織のルート、OU、またはアカウントにタグポリシーをアタッチするには

以下のコード例は、AttachPolicy の使用方法を示しています。

.NET
AWS SDK for .NET
注記

については、「」を参照してください GitHub。AWS コード例リポジトリ で全く同じ例を見つけて、設定と実行の方法を確認してください。

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to attach an AWS Organizations policy to an organization,
    /// an organizational unit, or an account.
    /// </summary>
    public class AttachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then calls the
        /// AttachPolicyAsync method to attach the policy to the root
        /// organization.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new AttachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.AttachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}.");
            }
            else
            {
                Console.WriteLine("Was not successful in attaching the policy.");
            }
        }
    }

  • API の詳細については、「 API リファレンスAttachPolicy」の「」を参照してください。 AWS SDK for .NET

CLI
AWS CLI

root、OU、またはアカウントにポリシーをアタッチするには

例 1

次の例は、サービスコントロールポリシーを OU にアタッチする方法を示しています。

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id ou-examplerootid111-exampleouid111

例 2

次の例は、サービスコントロールポリシーをアカウントに直接アタッチする方法を示しています。

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id 333333333333

  • API の詳細については、「 コマンドリファレンスAttachPolicy」の「」を参照してください。 AWS CLI

Python
SDK for Python (Boto3)
注記

については、「」を参照してください GitHub。AWS コード例リポジトリ で全く同じ例を見つけて、設定と実行の方法を確認してください。

def attach_policy(policy_id, target_id, orgs_client):
    """
    Attaches a policy to a target. The target is an organization root, account, or
    organizational unit.

    :param policy_id: The ID of the policy to attach.
    :param target_id: The ID of the resources to attach the policy to.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Attached policy %s to target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't attach policy %s to target %s.", policy_id, target_id
        )
        raise

  • API の詳細については、 AttachPolicy AWS SDK for Python (Boto3) API リファレンスの「」を参照してください。

ポリシーの変更はすぐに有効になります。

次のステップ

タグポリシーをアタッチすると、リソースがそのタグポリシーにどの程度準拠しているかを確認できます。これを行うには、Resource Groups コンソールを使用します。詳細については、「 リソースのタグ付けユーザーガイド」の「 アカウントのコンプライアンスの評価」を参照してください。 AWS

タグポリシーのデタッチ

組織の管理アカウントにサインインすると、アタッチされている組織ルート、OU、またはアカウントからタグポリシーをデタッチすることができます。エンティティからタグポリシーをデタッチすると、そのポリシーは、現在デタッチされたエンティティによって影響を受けたすべてのアカウントに適用されなくなります。ポリシーをデタッチするには、次のステップを実行します。

最小アクセス許可

組織ルート、OU、またはアカウントからタグポリシーをデタッチするには、以下のアクションを実行する権限が必要です。

  • organizations:DetachPolicy

タグポリシーをデタッチするには、ポリシーをデタッチするルート、OU、またはアカウントに移動します。

タグポリシーがアタッチされているルート、OU、またはアカウントに移動してデタッチするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。

  2. AWS アカウント ページで、ポリシーをデタッチするルート、OU、またはアカウントに移動します。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。ルート、OU、またはアカウントの名前を選択します。

  3. [Policies] (ポリシー) タブで、デタッチするタグポリシーの横にあるラジオボタンをクリックし、[Detach] (デタッチ) を選択します。

  4. 確認ダイアログボックスで、[Detach policy] (ポリシーのデタッチ) を選択します。

    アタッチされているタグポリシーのリストが更新されます。ポリシーの変更はすぐに反映されます。

ポリシーに移動してタグポリシーをデタッチするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。

  2. タグポリシーページで、ルート、OU、またはアカウントからデタッチするポリシーの名前を選択します。

  3. [Targets] (ターゲット) タブで、ポリシーをデタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。

  4. [Detach] (デタッチ) を選択します。

  5. 確認ダイアログボックスで、[Detach] (デタッチ) を選択します。

    アタッチされているタグポリシーのリストが更新されます。ポリシーの変更はすぐに反映されます。

組織のルート、OU、またはアカウントからタグポリシーをデタッチするには

以下のコード例は、DetachPolicy の使用方法を示しています。

.NET
AWS SDK for .NET
注記

については、「」を参照してください GitHub。AWS コード例リポジトリ で全く同じ例を見つけて、設定と実行の方法を確認してください。

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to detach a policy from an AWS Organizations organization,
    /// organizational unit, or account.
    /// </summary>
    public class DetachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and uses it to call
        /// DetachPolicyAsync to detach the policy.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new DetachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.DetachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully detached policy with Policy Id: {policyId}.");
            }
            else
            {
                Console.WriteLine("Could not detach the policy.");
            }
        }
    }

  • API の詳細については、「 API リファレンスDetachPolicy」の「」を参照してください。 AWS SDK for .NET

CLI
AWS CLI

root、OU、またはアカウントからポリシーをデタッチするには

次のコード例は、OU からポリシーをデタッチする方法を示しています。

aws organizations  detach-policy  --target-id ou-examplerootid111-exampleouid111 --policy-id p-examplepolicyid111

  • API の詳細については、「 コマンドリファレンスDetachPolicy」の「」を参照してください。 AWS CLI

Python
SDK for Python (Boto3)
注記

については、「」を参照してください GitHub。AWS コード例リポジトリ で全く同じ例を見つけて、設定と実行の方法を確認してください。

def detach_policy(policy_id, target_id, orgs_client):
    """
    Detaches a policy from a target.

    :param policy_id: The ID of the policy to detach.
    :param target_id: The ID of the resource where the policy is currently attached.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.detach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Detached policy %s from target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't detach policy %s from target %s.", policy_id, target_id
        )
        raise

  • API の詳細については、 DetachPolicy AWS SDK for Python (Boto3) API リファレンスの「」を参照してください。

ポリシーの変更はすぐに反映されます。