翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
宣言ポリシー
宣言型ポリシーを使用すると、組織全体 AWS のサービス で特定の に必要な設定を一元的に宣言して適用できます。アタッチされると、サービスが新機能または を追加するときに、設定は常に維持されますAPIs。宣言ポリシーを使用して、非準拠のアクションを防止します。例えば、組織全体の Amazon VPCリソースへのパブリックインターネットアクセスをブロックできます。
宣言型ポリシーを使用する主な利点は次のとおりです。
使いやすさ: AWS Organizations および AWS Control Tower コンソールでいくつかの選択を行うか AWS のサービス 、 AWS CLI & を使用していくつかのコマンドを使用して、 のベースライン設定を適用できます AWS SDKs。
一度設定すると忘れる: サービスが新機能または を導入しても、 のベースライン設定 AWS のサービス は常に維持されますAPIs。ベースライン設定は、新しいアカウントが組織に追加された場合や、新しいプリンシパルとリソースが作成された場合でも維持されます。
透明性: アカウントステータスレポートでは、範囲内のアカウントの宣言ポリシーでサポートされているすべての属性の現在のステータスを確認できます。カスタマイズ可能なエラーメッセージを作成することもできます。これにより、管理者はエンドユーザーを内部 wiki ページにリダイレクトしたり、エンドユーザーがアクションが失敗した理由を理解するのに役立つ説明メッセージを提供したりできます。
サポートされている AWS のサービス および 属性の完全なリストについては、「」を参照してくださいサポートされている AWS のサービス および 属性。
トピック
宣言ポリシーの仕組み
宣言型ポリシーは、サービスのコントロールプレーンで適用されます。これは、サービスコントロールポリシー (SCPs) やリソースコントロールポリシー (RCPs) などの認可ポリシーとの重要な違いです。認可ポリシーは へのアクセスを規制しますがAPIs、宣言ポリシーはサービスレベルで直接適用され、永続的なインテントを適用します。これにより、新しい機能や がサービスによって導入された場合でも、ベースライン設定APIsが常に適用されます。
次の表は、この違いを説明するために役立つとともに、いくつかのユースケースを示しています。
| サービスコントロールポリシー | リソースコントロールポリシー | 宣言ポリシー | |
|---|---|---|---|
| なぜですか? |
大規模なプリンシパル (IAMユーザーやIAMロールなど) に対して一貫したアクセスコントロールを一元的に定義して適用します。 |
大規模なリソースに対して一貫したアクセスコントロールを一元的に定義して適用するには |
大規模なサービスのベースライン設定を一元的に定義して適用します AWS 。 |
| その方法は? |
API レベルでプリンシパルの使用可能なアクセス許可の最大数を制御する。 |
API レベルでリソースに使用可能なアクセス許可の最大数を制御する。 |
API アクションを使用 AWS のサービス せずに の必要な設定を強制する。 |
| サービスにリンクされたロールを管理しますか? | いいえ | なし | あり |
| フィードバックメカニズム | カスタマイズ不可能なアクセス拒否SCPエラー。 | カスタマイズ不可能なアクセス拒否RCPエラー。 | カスタマイズ可能なエラーメッセージ。詳細については、「宣言ポリシーのカスタムエラーメッセージ」を参照してください。 |
| ポリシーの例 | リクエストされた AWS リージョン に基づいて AWS へのアクセスを拒否する | リソースへの接続のみHTTPSにアクセスを制限する | 許可されたイメージの設定 |
宣言ポリシーを作成してアタッチすると、組織全体に適用および適用されます。宣言ポリシーは、組織全体、組織単位 (OUs)、またはアカウントに適用できます。組織に参加するアカウントは、組織内の宣言ポリシーを自動的に継承します。詳細については、「管理ポリシーの継承を理解する」を参照してください。
有効なポリシーは、組織ルートから継承され、アカウントに直接アタッチされたルールOUsのセットです。有効なポリシーは、アカウントに適用される最終的なルールセットを指定します。詳細については、「効果的な管理ポリシーの表示」を参照してください。
宣言ポリシーがデタッチされると、属性の状態は宣言ポリシーがアタッチされる前の状態にロールバックされます。
宣言ポリシーのカスタムエラーメッセージ
宣言ポリシーを使用すると、カスタムエラーメッセージを作成できます。例えば、宣言ポリシーが原因でAPIオペレーションが失敗した場合、エラーメッセージを設定するかURL、内部 Wiki へのリンクや失敗を説明するメッセージへのリンクなどのカスタム を指定できます。カスタムエラーメッセージを指定しない場合、 はデフォルトのエラーメッセージ AWS Organizations を提供しますExample: This action is denied due to an organizational policy in effect。
また、宣言型ポリシーの作成、宣言型ポリシーの更新、宣言型ポリシーの削除のプロセスも監査できます AWS CloudTrail。 は、宣言型ポリシーによるAPIオペレーションの失敗にフラグを付ける CloudTrail ことができます。詳細については、「ログ記録とモニタリング」を参照してください。
重要
カスタムエラーメッセージには、個人を特定できる情報 (PII) やその他の機密情報を含めないでください。 PIIには、個人を特定または検索するために使用できる一般的な情報が含まれています。財務、医療、教育、雇用などの記録を対象としています。 PII の例には、住所、銀行口座番号、電話番号が含まれます。
宣言ポリシーのアカウントステータスレポート
アカウントステータスレポートでは、範囲内のアカウントの宣言ポリシーでサポートされているすべての属性の現在のステータスを確認できます。レポートの範囲に含めるアカウントと組織単位 (OUs) を選択するか、ルートを選択して組織全体を選択できます。
このレポートは、リージョンの内訳を提供し、属性の現在の状態がアカウント間で統一されている ( 経由numberOfMatchedAccounts) か、一貫性がない ( 経由) かを評価することで、準備状況を評価するのに役立ちますnumberOfUnmatchedAccounts。また、最も頻繁な値も確認できます。これは、 属性に対して最も頻繁に観察される設定値です。
図 1 では、生成されたアカウントステータスレポートがあり、VPCブロックパブリックアクセスとイメージブロックパブリックアクセス、インスタンスメタデータのデフォルト、スナップショットブロックパブリックアクセス、許可されたイメージ設定の属性について、アカウント間の統一性を示しています。つまり、各属性について、スコープ内のすべてのアカウントがその属性に対して同じ設定を持つことになります。
生成されたアカウントステータスレポートには、許可されたイメージ設定、インスタンスメタデータのデフォルト、シリアルコンソールアクセス、スナップショットブロックのパブリックアクセスの属性について、一貫性のないアカウントが表示されます。この例では、一貫性のないアカウントを持つ各属性は、異なる設定値を持つアカウントが 1 つあることが原因です。
最も頻繁な値がある場合は、それぞれの列に表示されます。各属性が制御する内容の詳細については、宣言型ポリシー構文とポリシーの例を参照してください。
属性を展開して、リージョンの内訳を表示することもできます。この例では、Image Block Public Access が展開され、各リージョンで、アカウント間で統一されていることがわかります。
ベースライン設定を適用するための宣言ポリシーをアタッチする選択は、特定のユースケースによって異なります。アカウントステータスレポートを使用すると、宣言ポリシーをアタッチする前に準備状況を評価するのに役立ちます。
詳細については、「アカウントステータスレポートの生成」を参照してください。
図 1: VPC Block Public Access と Image Block Public Access のアカウント間で統一されたアカウントステータスレポートの例。
サポートされている AWS のサービス および 属性
の宣言ポリシーでサポートされている属性 EC2
次の表は、Amazon EC2関連サービスでサポートされている属性を示しています。
| AWS サービス | 属性 | ポリシー効果 | ポリシーの内容 | 詳細情報 |
|---|---|---|---|---|
| Amazon VPC | VPC ブロックパブリックアクセス | Amazon のリソースVPCsとサブネットがインターネットゲートウェイ () を介してインターネットにアクセスできるかどうかを制御しますIGWs。 | ポリシーを表示 | 詳細については、「Amazon VPCユーザーガイド」の「 VPCsおよびサブネットへのパブリックアクセスをブロックする」を参照してください。 |
| Amazon EC2 | シリアルコンソールアクセス | EC2 シリアルコンソールにアクセスできるかどうかを制御します。 | ポリシーを表示 | 詳細については、「Amazon Elastic Compute Cloud ユーザーガイド」のEC2「シリアルコンソールへのアクセスを設定する」を参照してください。 |
| Image Block パブリックアクセス | Amazon マシンイメージ (AMIs) がパブリックに共有可能かどうかを制御します。 | ポリシーを表示 | 詳細については、「Amazon Elastic Compute Cloud ユーザーガイド」の「 のブロックパブリックアクセスAMIsを理解する」を参照してください。 | |
| 許可されたイメージの設定 | EC2 許可された を使用した Amazon での Amazon マシンイメージ (AMI) の検出と使用を制御しますAMIs。 | ポリシーを表示 | 詳細については、「Amazon Elastic Compute Cloud ユーザーガイド」の「Amazon マシンイメージ (AMIs)」を参照してください。 | |
| インスタンスメタデータのデフォルト | すべての新しいEC2インスタンスの起動のIMDSデフォルトを制御します。 | ポリシーを表示 | 詳細については、「Amazon Elastic Compute Cloud ユーザーガイド」の「新しいインスタンスのインスタンスメタデータオプションを設定する」を参照してください。 | |
| Amazon EBS | スナップショットブロックパブリックアクセス | Amazon EBSスナップショットがパブリックにアクセス可能かどうかを制御します。 | ポリシーを表示 | 詳細については、「Amazon Elastic Block Store ユーザーガイド」の「Amazon EBSスナップショットのパブリックアクセスのブロック」を参照してください。 |
