組織のポリシーに関する情報の取得 - AWS Organizations

組織のポリシーに関する情報の取得

このセクションでは、組織内のポリシーの詳細を取得するさまざまな方法について説明します。これらの手順は、すべてのポリシータイプに適用されます。あるタイプのポリシーを組織ルート内のエンティティにアタッチする前に、その組織ルートでそのポリシータイプを有効にする必要があります。

すべてのポリシーの一覧表示

最小限必要なアクセス権限

組織内のポリシーを一覧表示するには、次のアクセス権限が必要です。

  • organizations:ListPolicies

組織のポリシーは、AWS Management Console または、AWS Command Line Interface (AWS CLI) コマンドまたは AWS SDKオペレーション使用して表示できます。

AWS Management Console

組織のすべてのポリシーを一覧表示するには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. ポリシーページで、一覧表示するポリシーを選択します。

    指定したポリシータイプが有効な場合、コンソールには、組織で現在利用できる同様のタイプのポリシーの一覧が表示されます。

  3. ポリシーページに戻り、ポリシータイプごとにこれを繰り返します。

AWS CLI & AWS SDKs

組織のすべてのポリシーを一覧表示するには

組織のポリシーを一覧表示するには、次のいずれかのコマンドを使用します。

  • AWS CLI: list-policies

    次の例は、組織内のすべてのサービスコントロールポリシーのリストを取得する方法を示します。表示するポリシーのタイプを指定する必要があります。含めるポリシータイプごとにコマンドを繰り返します。

    $ aws organizations list-policies \ --filter SERVICE_CONTROL_POLICY { "Policies": [ { "Id": "p-FullAWSAccess", "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess", "Name": "FullAWSAccess", "Description": "Allows access to every operation", "Type": "SERVICE_CONTROL_POLICY", "AwsManaged": true } ] }
  • AWS SDK: ListPolicies

ルート、OU、またはアカウントにアタッチされているポリシーを一覧表示する

最小限必要なアクセス権限

組織内のルート、組織単位 (OU)、またはアカウントにアタッチされたポリシーを一覧表示するには、次のアクセス許可が必要です。

  • 指定されたターゲット (または "*") の Amazon リソースネーム (ARN) を含む同じポリシーステートメントの Resource 要素を持つ organizations:ListPoliciesForTarget

AWS Management Console

指定したルート、OU、またはアカウント に直接アタッチされているすべてのポリシーを一覧表示するには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. リポジトリの AWS アカウント ページで、ポリシーを表示するルート、OU、またはアカウントの名前を選択します。必要な OU を見つけるために、OUを展開する ( を選択する) 必要がある場合があります。

  3. ルート、OU、またはアカウントページで、[Policies] (ポリシー) タブを選択します。

    [Policies] (ポリシー) タブでは、そのルート、OU、またはアカウントにアタッチされているすべてのポリシーが、ポリシータイプ別にグループ化されて表示されます。

AWS CLI & AWS SDKs

指定したルート、OU、またはアカウント に直接アタッチされているすべてのポリシーを一覧表示するには

エンティティにアタッチされているポリシーを一覧表示するには、次のいずれかのコマンドを使用します。

  • AWS CLI: list-policies-for-target

    次の例では、指定された OU にアタッチされているすべてのサービスコントロールポリシーを一覧表示します。ルート、OU、またはアカウントの ID、および一覧表示するポリシーのタイプを指定する必要があります。

    $ aws organizations list-policies-for-target \ --target-id ou-a1b2-f6g7h222 \ --filter SERVICE_CONTROL_POLICY { "Policies": [ { "Id": "p-FullAWSAccess", "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess", "Name": "FullAWSAccess", "Description": "Allows access to every operation", "Type": "SERVICE_CONTROL_POLICY", "AwsManaged": true } ] }
  • AWS SDK: ListPoliciesForTarget

ポリシーがアタッチされているすべての root、OU、およびアカウントの一覧表示

最小限必要なアクセス権限

ポリシーがアタッチされているエンティティを一覧表示するには、次のアクセス権限が必要です。

  • 指定されたポリシー (または "*") の ARN を含む同じポリシーステートメントの Resource 要素を持つ organizations:ListTargetsForPolicy

AWS Management Console

特定のポリシーがアタッチされているすべてのルート、OU、およびアカウントを一覧表示するには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. ポリシーページで、ポリシータイプを選択してから、添付ファイルを確認するポリシーの名前を選択します。

  3. [Targets] (ターゲット) タブを選択し、選択したポリシーがアタッチされているすべてのルート、OU、およびアカウントのテーブルを表示します。

AWS CLI & AWS SDKs

特定のポリシーがアタッチされているすべてのルート、OU、およびアカウントを一覧表示するには

ポリシーを含むエンティティを一覧表示するには、次のいずれかのコマンドを使用します。

  • AWS CLI: list-targets-for-policy

    次の例は、指定されたポリシーのルート、OU、およびアカウントに対するすべての添付ファイルを示しています。

    $ aws organizations list-targets-for-policy \ --policy-id p-FullAWSAccess { "Targets": [ { "TargetId": "ou-a1b2-f6g7h111", "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h111", "Name": "testou2", "Type": "ORGANIZATIONAL_UNIT" }, { "TargetId": "ou-a1b2-f6g7h222", "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222", "Name": "testou1", "Type": "ORGANIZATIONAL_UNIT" }, { "TargetId": "123456789012", "Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012", "Name": "My Management Account (bisdavid)", "Type": "ACCOUNT" }, { "TargetId": "r-a1b2", "Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2", "Name": "Root", "Type": "ROOT" } ] }
  • AWS SDK: ListTargetsForPolicy

ポリシーの詳細の取得

最小限必要なアクセス権限

ポリシーの詳細を表示するには、次のアクセス権限が必要です。

  • 指定されたポリシー (または "*") の ARN を含む同じポリシーステートメントの organizations:DescribePolicy 要素を持つ Resource

AWS Management Console

ポリシーの詳細を取得するには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. ポリシーページで、確認するポリシーのポリシータイプを選択してから、ポリシーの名前を選択します。

    ポリシーページには、ARN、説明、アタッチメントなど、ポリシーに関する利用可能な情報が表示されます。

    • [Content] (コンテンツ) タブには、ポリシーの現在の内容が JSON 形式で表示されます。

    • [Targets] (ターゲット) タブには、ポリシーがアタッチされているルート、OU、およびアカウントの一覧が表示されます。

    • [Tags] (タグ) タブには、ポリシーにアタッチされたタグが表示されます。注: [Tags] (タグ) タブは、AWS 管理ポリシーでは使用できません。

    ポリシーを編集するには、[Edit policy] (ポリシーの編集) を選択します。編集要件はポリシータイプごとに異なるため、指定したポリシータイプのポリシーの作成および更新手順を参照してください。

AWS CLI & AWS SDKs

ポリシーの詳細を取得するには

ポリシーの詳細を表示するには、次のいずれかのコマンドを使用します。

  • AWS CLI: describe-policy

    次の例では、指定されたポリシーの詳細を表示します。

    $ aws organizations describe-policy \ --policy-id p-FullAWSAccess { "Policy": { "PolicySummary": { "Id": "p-FullAWSAccess", "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess", "Name": "FullAWSAccess", "Description": "Allows access to every operation", "Type": "SERVICE_CONTROL_POLICY", "AwsManaged": true }, "Content": "{\n \"Version\": \"2012-10-17\",\n \"Statement\": [\n {\n \"Effect\": \"Allow\",\n \"Action\": \"*\",\n \"Resource\": \"*\"\n }\n ]\n}" } }
  • AWS SDK: DescribePolicy