ポリシータイプの有効化と無効化 - AWS Organizations
ポリシータイプの有効化ポリシータイプの無効化

ポリシータイプの有効化と無効化

ポリシータイプの有効化

ポリシーを作成して組織にアタッチする前に、そのポリシータイプを有効にする必要があります。ポリシータイプの有効化は、組織ルートで行う 1 回限りのタスクです。ポリシータイプの有効化は、組織の管理アカウントからのみ行うことができます。

最小アクセス許可

ポリシータイプを有効にするには、以下のアクションを実行するアクセス許可が必要です。

  • organizations:EnablePolicyType

  • organizations:DescribeOrganization - Organizations コンソールを使用する場合にのみ必要

  • organizations:ListRoots - Organizations コンソールを使用する場合にのみ必要

AWS Management Console
ポリシータイプを有効にするには

  1. AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. [Policies] (ポリシー) ページで、有効化するポリシータイプの名前を選択します。

  3. ポリシータイプのページで [Enable policy type] (ポリシータイプの有効化) を選択します。

    ページは、指定したタイプの使用可能なポリシーのリストに置き換えられます。

AWS CLI & AWS SDKs
ポリシータイプを有効にするには

次のいずれかのコマンドを使用して、ポリシータイプを有効にできます。

  • AWS CLI: enable-policy-type

    次の例は、組織のバックアップポリシーを有効にする方法を示しています。組織のルートの ID を指定する必要があることに注意してください。

    $ aws organizations enable-policy-type \
    --root-id r-a1b2 \
    --policy-type BACKUP_POLICY
{
    "Root": {
        "Id": "r-a1b2",
        "Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
        "Name": "Root",
        "PolicyTypes": [
            {
                "Type": "BACKUP_POLICY",
                "Status": "ENABLED"
            }
        ]
    }
}

    出力の PolicyTypes のリストには、指定したポリシータイプが ENABLEDStatus で含まれるようになります。

  • AWS SDK: EnablePolicyType

ポリシータイプの無効化

組織内で特定のポリシータイプを使用しなくなった場合は、誤って使用されないように、そのタイプを無効にすることができます。ポリシータイプの無効化は、組織の管理アカウントからのみ行うことができます。

重要

  • ポリシータイプを無効にすると、指定されたされたタイプのすべてのポリシーは、組織ルート内のすべてのエンティティから自動的にデタッチされます。ポリシーの削除は行われません

  • (サービスコントロールポリシータイプのみ) 後で SCP ポリシータイプを再び有効にした場合、組織ルート内のすべてのエンティティはデフォルトの FullAWSAccess SCP にのみアタッチされた状態になります。組織で SCP が無効になった時点で、エンティティへの SCP のアタッチは解除されます。後から SCP を再度有効にした場合は、必要に応じて組織のルート、OU、アカウントにアタッチし直す必要があります。

最小アクセス許可

SCP を無効にするには、以下のアクションを実行する権限が必要です。

  • organizations:DisablePolicyType

  • organizations:DescribeOrganization - Organizations コンソールを使用する場合にのみ必要

  • organizations:ListRoots - Organizations コンソールを使用する場合にのみ必要

AWS Management Console
ポリシータイプを無効にするには

  1. AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. ポリシーページで、無効にするポリシータイプの名前を選択します。

  3. ポリシータイプのページで [Disable policy type] (ポリシータイプの無効化) を選択します。

  4. 確認ダイアログボックスで、「disable」と入力してから、[Disable] (無効化する) を選択します。

    使用可能なポリシーの一覧に、指定したタイプが表示されなくなります。

AWS CLI & AWS SDKs
ポリシータイプを無効にするには

ポリシータイプを無効にするには、次のコマンドを使用します。

  • AWS CLI: disable-policy-type

    次の例は、組織のバックアップポリシーを無効にする方法を示しています。組織のルートの ID を指定する必要があることに注意してください。

    $ aws organizations disable-policy-type \
    --root-id r-a1b2 \
    --policy-type BACKUP_POLICY
{
    "Root": {
        "Id": "r-a1b2",
        "Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
        "Name": "Root",
        "PolicyTypes": []
    }
}

    出力の PolicyTypes のリストには、指定したポリシータイプが含まれなくなります。

  • AWS SDK: DisablePolicyType