翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の委任管理者 AWS Organizations
AWS Organizations 管理アカウントとそのユーザーとロールは、そのアカウントで実行する必要があるタスクにのみ使用することをお勧めします。また、すべての AWS
リソースを組織内の他のメンバーアカウントに保存し、管理アカウントからは切り離すことをおすすめします。これは、Organizations のサービスコントロールポリシー (SCP) などのセキュリティ機能は、管理アカウントのユーザーやロールに制限を加えることができないためです。
組織の管理アカウントから、ポリシー管理を Organizations の指定のメンバーアカウントに委任して、デフォルトでは管理アカウントのみが使用できるポリシーアクションを実行できます。
リソースベースの委任ポリシーを作成または更新する
管理アカウントから、組織のリソースベースの委任ポリシーを作成または更新し、ポリシーに対してアクションを実行できるメンバーアカウントを指定するステートメントを追加します。ポリシーに複数のステートメントを追加して、メンバーアカウントにさまざまなアクセス許可を示すことができます。
リソースベースの委任ポリシーを作成または更新するには、次のアクションを実行するアクセス許可が必要です。
また、必要なアクションに対応する IAM アクセス許可を委任された管理者アカウントのロールとユーザーに付与する必要があります。IAM アクセス許可がない場合、呼び出し元のプリンシパルには AWS Organizations ポリシーを管理するために必要なアクセス許可がないと見なされます。
- AWS Management Console
-
次のいずれかの方法を使用して、 AWS Management Console
のリソースベースの委任ポリシーにステートメントを追加します。
JSON ポリシーエディタを使用して委任ポリシーを作成するには
-
AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。
-
[設定] を選択します。
-
[ AWS Organizations の委任管理者]セクションで、[委任] を選択して Organizations 委任ポリシーを作成します。既存の委任ポリシーを更新するには、[Edit] (編集) を選択します。
-
JSON ポリシードキュメントを入力するか貼り付けます。IAM ポリシー言語の詳細については、 「IAM JSON ポリシーリファレンス」を参照してください。
-
ポリシーの検証中に生成されたセキュリティ警告、エラー、または一般的な警告を解決し、[Create policy] (ポリシーの作成) を選択して作業を保存します。
ビジュアルエディタを使用して、委任ポリシーを作成または更新します。
-
AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。
-
[設定] を選択します。
-
[ AWS Organizations の委任管理者]セクションで、[委任] を選択して Organizations 委任ポリシーを作成します。既存の委任ポリシーを更新するには、[Edit] (編集) を選択します。
-
[Create Delegation policy] (委任ポリシーの作成) ページで、[Add new statement] (新しいステートメントを追加)を選択します。
-
[Effect] (効果) を Allow に設定します。
-
Principal を追加して委任したいメンバーアカウントを定義します。構文の詳細については、「リソースベースの委任ポリシーの例」を参照してください。
-
[Actions] (アクション) のリストから、委任するアクションを選択します。[Filter actions] (アクションのフィルタ)を使用して選択を絞り込むことができます。
-
委任されたメンバーアカウントが組織ルートまたは組織単位 (OU) にポリシーをアタッチできるかどうかを指定するには、Resources を設定します。また、リソースタイプとして policy を選択する必要があります。詳細については、「リソースベースの委任ポリシーの例」を参照してください。リソースは次の方法で指定できます。
-
[Add a resource] (リソースの追加) を選択し、ダイアログボックスのプロンプトに従って Amazon リソースネーム (ARN) を作成します。
-
エディタでリソース ARN を手動で一覧表示します。ARN 構文の詳細については、「 AWS 全般のリファレンスガイド」の「Amazon リソースネーム (ARN)」を参照してください。ポリシーのリソース要素で ARN を使用する方法については、「IAM JSON ポリシー要素: Resource」を参照してください。
-
委任するポリシータイプなど、他の条件を指定するには、[Add a condition] (条件の追加) を選択します。条件の [Condition key] (条件キー)、[Tag key] (タグキー)、[Qualifier] (修飾子)、[Operator] (演算子) を選択し、Value を入力します。詳細については、「リソースベースの委任ポリシーの例」を参照してください。完了したら、[Add condition] (条件の追加) を選択します。条件要素の詳細については、「IAM JSON ポリシーリファレンス」の「IAM JSON ポリシーの要素: 条件」を参照してください。
-
さらにアクセス許可ブロックを追加するには、[Add new statement] (新しいステートメントを追加) を選択します。各ブロックに対して、ステップ 5 から 9 を繰り返します。
-
ポリシーの検証で生成されたセキュリティ警告、エラー、または一般的な警告を解決し、[Create policy] (ポリシーの作成) を選択して作業を保存します。
- AWS CLI & AWS SDKs
-
委任ポリシーを作成または更新する
以下のコマンドを使用して委任ポリシーを作成または更新できます。
-
AWS CLI: put-resource-policy
以下は委任ポリシーを作成または更新する例です。
$ aws organizations put-resource-policy --content
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Fully_manage_backup_policies",
"Effect": "Allow",
"Principal": {
"AWS": "135791357913"
}
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
"arn:aws:organizations::246802468024:ou/o-abcdef/*",
"arn:aws:organizations::246802468024:account/o-abcdef/*",
"arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": [
"BACKUP_POLICY"
]
}
}
}
]
}
サポート対象の委任ポリシーのアクション
委任ポリシーでは、次のアクションがサポートされています。
-
AttachPolicy
-
CreatePolicy
-
DeletePolicy
-
DescribeAccount
-
DescribeCreateAccountStatus
-
DescribeEffectivePolicy
-
DescribeHandshake
-
DescribeOrganization
-
DescribeOrganizationalUnit
-
DescribePolicy
-
DescribeResourcePolicy
-
DetachPolicy
-
DisablePolicyType
-
EnablePolicyType
-
ListAccounts
-
ListAccountsForParent
-
ListAWSServiceAccessForOrganization
-
ListChildren
-
ListCreateAccountStatus
-
ListDelegatedAdministrators
-
ListDelegatedServicesForAccount
-
ListHandshakesForAccount
-
ListHandshakesForOrganization
-
ListOrganizationalUnitsForParent
-
ListParents
-
ListPolicies
-
ListPoliciesForTarget
-
ListRoots
-
ListTagsForResource
-
ListTargetsForPolicy
-
TagResource
-
UntagResource
-
UpdatePolicy
サポートされている条件キー
委任ポリシーに使用できるのは AWS Organizations 、 でサポートされている条件キーのみです。詳細については、「サービス認証リファレンス」の「 の条件キー AWS Organizations」を参照してください。
リソースベースの委任ポリシーを表示する
管理アカウントから、組織のリソースベースの委任ポリシーを表示して、どの委任管理者がどのポリシータイプを管理できるかを把握できます。
リソースベースのデリゲーションポリシーを表示するには、organizations:DescribeResourcePolicy のアクションを実行するアクセス許可が必要です。
- AWS Management Console
-
委任ポリシーを表示するには
-
AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。
-
[設定] を選択します。
-
[ AWS Organizations の委任管理者]セクションをスクロールして、委任ポリシー全体を表示します。
- AWS CLI & AWS SDKs
-
委任ポリシーを表示する
以下のコマンドを使用して委任ポリシーを表示できます。
リソースベースの委任ポリシーを削除する
組織内のポリシーの管理を委任する必要がなくなった場合、リソースベースの委任ポリシーを組織の管理アカウントから削除できます。
リソースベースの委任ポリシーを削除した場合、回復できません。
リソースベースのデリゲーションポリシーを削除するには、organizations:DeleteResourcePolicy のアクションを実行するアクセス許可が必要です。
- AWS Management Console
-
委任ポリシーを削除するには
-
AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。
-
[設定] を選択します。
-
[ AWS Organizations の委任管理者]セクションで、[削除]を選択します。
-
[Detach policy] (ポリシーの削除) のダイアログボックスで、 delete を入力します。[Delete policy] (ポリシーの削除) を選択します。
- AWS CLI & AWS SDKs
-
委任ポリシーを削除する
以下のコマンドを使用して委任ポリシーを削除できます。
