ポリシータイプの有効化と無効化 - AWS Organizations

ポリシータイプの有効化と無効化

ポリシータイプの有効化

ポリシーを作成して組織にアタッチする前に、そのポリシータイプを有効にする必要があります。ポリシータイプの有効化は、組織ルートで行う 1 回限りのタスクです。ポリシータイプの有効化は、組織の管理アカウントからのみ行うことができます。

最小限必要なアクセス権限

ポリシータイプを有効にするには、以下のアクションを実行するアクセス許可が必要です。

  • organizations:EnablePolicyType

  • organizations:DescribeOrganization - Organizations コンソールを使用する場合にのみ必要

  • organizations:ListRoots - Organizations コンソールを使用する場合にのみ必要

AWS Management Console

ポリシータイプを有効にするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. [Policies] (ポリシー) ページで、有効化するポリシータイプの名前を選択します。

  3. ポリシータイプのページで [Enable policy type] (ポリシータイプの有効化) を選択します。

    ページは、指定したタイプの使用可能なポリシーのリストに置き換えられます。

AWS CLI & AWS SDKs

ポリシータイプを有効にするには

次のいずれかのコマンドを使用して、ポリシータイプを有効にできます。

  • AWS CLI: enable-policy-type

    次の例は、組織のバックアップポリシーを有効にする方法を示しています。組織のルートの ID を指定する必要があることに注意してください。

    $ aws organizations enable-policy-type \ --root-id r-a1b2 \ --policy-type BACKUP_POLICY { "Root": { "Id": "r-a1b2", "Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2", "Name": "Root", "PolicyTypes": [ { "Type": "BACKUP_POLICY", "Status": "ENABLED" } ] } }

    出力の PolicyTypes のリストには、指定したポリシータイプが ENABLEDStatus で含まれるようになります。

  • AWS SDK: EnablePolicyType

ポリシータイプの無効化

組織内で特定のポリシータイプを使用しなくなった場合は、誤って使用されないように、そのタイプを無効にすることができます。ポリシータイプの無効化は、組織の管理アカウントからのみ行うことができます。

重要
  • ポリシータイプを無効にすると、指定されたされたタイプのすべてのポリシーは、組織ルート内のすべてのエンティティから自動的にデタッチされます。ポリシーの削除は行われません

  • (サービスコントロールポリシータイプのみ) 後で SCP ポリシータイプを再び有効にした場合、組織ルート内のすべてのエンティティはデフォルトの FullAWSAccess SCP にのみアタッチされた状態になります。組織で SCP が無効になった時点で、エンティティへの SCP のアタッチは解除されます。後から SCP を再度有効にした場合は、必要に応じて組織のルート、OU、アカウントにアタッチし直す必要があります。

最小限必要なアクセス権限

SCP を無効にするには、以下のアクションを実行する権限が必要です。

  • organizations:DisablePolicyType

  • organizations:DescribeOrganization - Organizations コンソールを使用する場合にのみ必要

  • organizations:ListRoots - Organizations コンソールを使用する場合にのみ必要

AWS Management Console

ポリシータイプを無効にするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. ポリシーページで、無効にするポリシータイプの名前を選択します。

  3. ポリシータイプのページで [Disable policy type] (ポリシータイプの無効化) を選択します。

  4. 確認ダイアログボックスで、「disable」と入力してから、[Disable] (無効化する) を選択します。

    使用可能なポリシーの一覧に、指定したタイプが表示されなくなります。

AWS CLI & AWS SDKs

ポリシータイプを無効にするには

ポリシータイプを無効にするには、次のコマンドを使用します。

  • AWS CLI: disable-policy-type

    次の例は、組織のバックアップポリシーを無効にする方法を示しています。組織のルートの ID を指定する必要があることに注意してください。

    $ aws organizations disable-policy-type \ --root-id r-a1b2 \ --policy-type BACKUP_POLICY { "Root": { "Id": "r-a1b2", "Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2", "Name": "Root", "PolicyTypes": [] } }

    出力の PolicyTypes のリストには、指定したポリシータイプが含まれなくなります。

  • AWS SDK: DisablePolicyType