翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
組織のポリシーに関する情報の取得
このトピックでは、組織内のポリシーの詳細を取得するさまざまな方法について説明します。これらの手順は、すべてのポリシータイプに適用されます。あるタイプのポリシーを組織ルート内のエンティティにアタッチする前に、その組織ルートでそのポリシータイプを有効にする必要があります。
すべてのポリシーの一覧表示
組織内のポリシーを一覧表示するには、次のアクセス権限が必要です。
組織内のポリシーは、 で表示できます。 AWS Management Console または を使用して AWS Command Line Interface (AWS CLI) コマンドまたは AWS SDK オペレーション。
組織のすべてのポリシーを一覧表示するには
-
にサインインします。AWS Organizations コンソール 。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザーとしてサインインする必要があります (推奨されません)。
-
ポリシーページで、一覧表示するポリシーを選択します。
指定したポリシータイプが有効な場合、コンソールには、組織で現在利用できる同様のタイプのポリシーの一覧が表示されます。
-
ポリシーページに戻り、ポリシータイプごとにこれを繰り返します。
以下のコード例は、ListPolicies
の使用方法を示しています。
- .NET
-
- AWS SDK for .NET
-
については、「」を参照してください GitHub。完全な例を検索し、 でセットアップして実行する方法を学びます。 AWS コード例リポジトリ 。
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
/// <summary>
/// Shows how to list the AWS Organizations policies associated with an
/// organization.
/// </summary>
public class ListPolicies
{
/// <summary>
/// Initializes an Organizations client object, and then calls its
/// ListPoliciesAsync method.
/// </summary>
public static async Task Main()
{
// Create the client object using the default account.
IAmazonOrganizations client = new AmazonOrganizationsClient();
// The value for the Filter parameter is required and must must be
// one of the following:
// AISERVICES_OPT_OUT_POLICY
// BACKUP_POLICY
// SERVICE_CONTROL_POLICY
// TAG_POLICY
var request = new ListPoliciesRequest
{
Filter = "SERVICE_CONTROL_POLICY",
MaxResults = 5,
};
var response = new ListPoliciesResponse();
try
{
do
{
response = await client.ListPoliciesAsync(request);
response.Policies.ForEach(p => DisplayPolicies(p));
if (response.NextToken is not null)
{
request.NextToken = response.NextToken;
}
}
while (response.NextToken is not null);
}
catch (AWSOrganizationsNotInUseException ex)
{
Console.WriteLine(ex.Message);
}
}
/// <summary>
/// Displays information about the Organizations policies associated
/// with an organization.
/// </summary>
/// <param name="policy">An Organizations policy summary to display
/// information on the console.</param>
private static void DisplayPolicies(PolicySummary policy)
{
string policyInfo = $"{policy.Id} {policy.Name}\t{policy.Description}";
Console.WriteLine(policyInfo);
}
}
- CLI
-
- AWS CLI
-
特定のタイプの組織のすべてのポリシーのリストを取得するには
次の例は、フィルターパラメータで指定された SCPsのリストを取得する方法を示しています。
aws organizations list-policies --filter SERVICE_CONTROL_POLICY
出力には、ポリシーのリストと概要情報が含まれます。
{
"Policies": [
{
"Type": "SERVICE_CONTROL_POLICY",
"Name": "AllowAllS3Actions",
"AwsManaged": false,
"Id": "p-examplepolicyid111",
"Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid111",
"Description": "Enables account admins to delegate permissions for any S3 actions to users and roles in their accounts."
},
{
"Type": "SERVICE_CONTROL_POLICY",
"Name": "AllowAllEC2Actions",
"AwsManaged": false,
"Id": "p-examplepolicyid222",
"Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid222",
"Description": "Enables account admins to delegate permissions for any EC2 actions to users and roles in their accounts."
},
{
"AwsManaged": true,
"Description": "Allows access to every operation",
"Type": "SERVICE_CONTROL_POLICY",
"Id": "p-FullAWSAccess",
"Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess",
"Name": "FullAWSAccess"
}
]
}
- Python
-
- SDK for Python (Boto3)
-
については、「」を参照してください GitHub。完全な例を検索し、 でセットアップして実行する方法を学びます。 AWS コード例リポジトリ 。
def list_policies(policy_filter, orgs_client):
"""
Lists the policies for the account, limited to the specified filter.
:param policy_filter: The kind of policies to return.
:param orgs_client: The Boto3 Organizations client.
:return: The list of policies found.
"""
try:
response = orgs_client.list_policies(Filter=policy_filter)
policies = response["Policies"]
logger.info("Found %s %s policies.", len(policies), policy_filter)
except ClientError:
logger.exception("Couldn't get %s policies.", policy_filter)
raise
else:
return policies
ルート、OU、またはアカウントにアタッチされているポリシーを一覧表示する
組織内のルート、組織単位 (OU)、またはアカウントにアタッチされたポリシーを一覧表示するには、次のアクセス許可が必要です。
- AWS Management Console
-
指定したルート、OU、またはアカウント に直接アタッチされているすべてのポリシーを一覧表示するには
-
にサインインします。AWS Organizations コンソール 。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザーとしてサインインする必要があります (推奨されません)。
-
リポジトリの []AWS アカウント ページでは、ポリシーを表示するルート、OU、またはアカウントの名前を選択します。必要な OU を見つけるには、 を展開 OUs ( を選択 ) する必要がある場合があります。
-
ルート、OU、またはアカウントページで、[Policies] (ポリシー) タブを選択します。
[Policies] (ポリシー) タブでは、そのルート、OU、またはアカウントにアタッチされているすべてのポリシーが、ポリシータイプ別にグループ化されて表示されます。
- AWS CLI & AWS SDKs
-
指定したルート、OU、またはアカウント に直接アタッチされているすべてのポリシーを一覧表示するには
エンティティにアタッチされているポリシーを一覧表示するには、次のいずれかのコマンドを使用します。
-
AWS CLI: list-policies-for-target
次の例では、指定された OU にアタッチされているすべてのサービスコントロールポリシーを一覧表示します。ルート、OU、またはアカウントの ID、および一覧表示するポリシーのタイプを指定する必要があります。
$
aws organizations list-policies-for-target \
--target-id ou-a1b2-f6g7h222 \
--filter SERVICE_CONTROL_POLICY
{
"Policies": [
{
"Id": "p-FullAWSAccess",
"Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess",
"Name": "FullAWSAccess",
"Description": "Allows access to every operation",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": true
}
]
}
-
AWS SDKs: ListPoliciesForTarget
ポリシーがアタッチされているすべてのルートOUs、、およびアカウントの一覧表示
ポリシーがアタッチされているエンティティを一覧表示するには、次のアクセス権限が必要です。
- AWS Management Console
-
指定されたポリシーがアタッチされているすべてのルートOUs、、およびアカウントを一覧表示するには
-
にサインインします。AWS Organizations コンソール 。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザー (推奨されません) としてサインインする必要があります。
-
ポリシーページで、ポリシータイプを選択してから、添付ファイルを確認するポリシーの名前を選択します。
-
[Targets] (ターゲット) タブを選択し、選択したポリシーがアタッチされているすべてのルート、OU、およびアカウントのテーブルを表示します。
- AWS CLI & AWS SDKs
-
指定されたポリシーがアタッチされているすべてのルートOUs、、およびアカウントを一覧表示するには
ポリシーを含むエンティティを一覧表示するには、次のいずれかのコマンドを使用します。
-
AWS CLI: list-targets-for-policy
次の例は、指定されたポリシーのルート、OUs、および アカウントへのすべての添付ファイルを示しています。
$
aws organizations list-targets-for-policy \
--policy-id p-FullAWSAccess
{
"Targets": [
{
"TargetId": "ou-a1b2-f6g7h111",
"Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h111",
"Name": "testou2",
"Type": "ORGANIZATIONAL_UNIT"
},
{
"TargetId": "ou-a1b2-f6g7h222",
"Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
"Name": "testou1",
"Type": "ORGANIZATIONAL_UNIT"
},
{
"TargetId": "123456789012",
"Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
"Name": "My Management Account (bisdavid)",
"Type": "ACCOUNT"
},
{
"TargetId": "r-a1b2",
"Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
"Name": "Root",
"Type": "ROOT"
}
]
}
-
AWS SDKs: ListTargetsForPolicy
ポリシーの詳細の取得
ポリシーの詳細を表示するには、次のアクセス権限が必要です。
ポリシーの詳細を取得するには
-
にサインインします。AWS Organizations コンソール 。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザー (推奨されません) としてサインインする必要があります。
-
ポリシーページで、確認するポリシーのポリシータイプを選択してから、ポリシーの名前を選択します。
ポリシーページには、、ARN説明、アタッチされたターゲットなど、ポリシーに関する利用可能な情報が表示されます。
-
コンテンツタブには、ポリシーの現在の内容を JSON 形式で表示します。
-
ターゲットタブには、ポリシーがアタッチされているルート、OUs、およびアカウントのリストが表示されます。
-
[Tags] (タグ) タブには、ポリシーにアタッチされたタグが表示されます。注: タグタブは では使用できません。 AWS
マネージドポリシー。
ポリシーを編集するには、[Edit policy] (ポリシーの編集) を選択します。編集要件はポリシータイプごとに異なるため、指定したポリシータイプのポリシーの作成および更新手順を参照してください。
以下のコード例は、DescribePolicy
の使用方法を示しています。
- CLI
-
- AWS CLI
-
ポリシーに関する情報を取得するには
次の例は、ポリシーに関する情報をリクエストする方法を示しています。
aws organizations describe-policy --policy-id p-examplepolicyid111
出力には、ポリシーの詳細を含むポリシーオブジェクトが含まれます。
{
"Policy": {
"Content": "{\n \"Version\": \"2012-10-17\",\n \"Statement\": [\n {\n \"Effect\": \"Allow\",\n \"Action\": \"*\",\n \"Resource\": \"*\"\n }\n ]\n}",
"PolicySummary": {
"Arn": "arn:aws:organizations::111111111111:policy/o-exampleorgid/service_control_policy/p-examplepolicyid111",
"Type": "SERVICE_CONTROL_POLICY",
"Id": "p-examplepolicyid111",
"AwsManaged": false,
"Name": "AllowAllS3Actions",
"Description": "Enables admins to delegate S3 permissions"
}
}
}
- Python
-
- SDK for Python (Boto3)
-
については、「」を参照してください GitHub。完全な例を検索し、 でセットアップして実行する方法を学びます。 AWS コード例リポジトリ 。
def describe_policy(policy_id, orgs_client):
"""
Describes a policy.
:param policy_id: The ID of the policy to describe.
:param orgs_client: The Boto3 Organizations client.
:return: The description of the policy.
"""
try:
response = orgs_client.describe_policy(PolicyId=policy_id)
policy = response["Policy"]
logger.info("Got policy %s.", policy_id)
except ClientError:
logger.exception("Couldn't get policy %s.", policy_id)
raise
else:
return policy