組織のポリシーに関する情報の取得 - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織のポリシーに関する情報の取得

このトピックでは、組織内のポリシーの詳細を取得するさまざまな方法について説明します。これらの手順は、すべてのポリシータイプに適用されます。あるタイプのポリシーを組織ルート内のエンティティにアタッチする前に、その組織ルートでそのポリシータイプを有効にする必要があります。

すべてのポリシーの一覧表示

最小アクセス許可

組織内のポリシーを一覧表示するには、次のアクセス権限が必要です。

  • organizations:ListPolicies

組織内のポリシーは、 で表示できます。 AWS Management Console または を使用して AWS Command Line Interface (AWS CLI) コマンドまたは AWS SDK オペレーション。

組織のすべてのポリシーを一覧表示するには
  1. にサインインします。AWS Organizations コンソール 。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザーとしてサインインする必要があります (推奨されません)。

  2. ポリシーページで、一覧表示するポリシーを選択します。

    指定したポリシータイプが有効な場合、コンソールには、組織で現在利用できる同様のタイプのポリシーの一覧が表示されます。

  3. ポリシーページに戻り、ポリシータイプごとにこれを繰り返します。

以下のコード例は、ListPolicies の使用方法を示しています。

.NET
AWS SDK for .NET
注記

については、「」を参照してください GitHub。完全な例を検索し、 でセットアップして実行する方法を学びます。 AWS コード例リポジトリ

using System; using System.Threading.Tasks; using Amazon.Organizations; using Amazon.Organizations.Model; /// <summary> /// Shows how to list the AWS Organizations policies associated with an /// organization. /// </summary> public class ListPolicies { /// <summary> /// Initializes an Organizations client object, and then calls its /// ListPoliciesAsync method. /// </summary> public static async Task Main() { // Create the client object using the default account. IAmazonOrganizations client = new AmazonOrganizationsClient(); // The value for the Filter parameter is required and must must be // one of the following: // AISERVICES_OPT_OUT_POLICY // BACKUP_POLICY // SERVICE_CONTROL_POLICY // TAG_POLICY var request = new ListPoliciesRequest { Filter = "SERVICE_CONTROL_POLICY", MaxResults = 5, }; var response = new ListPoliciesResponse(); try { do { response = await client.ListPoliciesAsync(request); response.Policies.ForEach(p => DisplayPolicies(p)); if (response.NextToken is not null) { request.NextToken = response.NextToken; } } while (response.NextToken is not null); } catch (AWSOrganizationsNotInUseException ex) { Console.WriteLine(ex.Message); } } /// <summary> /// Displays information about the Organizations policies associated /// with an organization. /// </summary> /// <param name="policy">An Organizations policy summary to display /// information on the console.</param> private static void DisplayPolicies(PolicySummary policy) { string policyInfo = $"{policy.Id} {policy.Name}\t{policy.Description}"; Console.WriteLine(policyInfo); } }
  • API 詳細については、ListPolicies「」の「」を参照してください 。AWS SDK for .NET API リファレンス

CLI
AWS CLI

特定のタイプの組織のすべてのポリシーのリストを取得するには

次の例は、フィルターパラメータで指定された SCPsのリストを取得する方法を示しています。

aws organizations list-policies --filter SERVICE_CONTROL_POLICY

出力には、ポリシーのリストと概要情報が含まれます。

{ "Policies": [ { "Type": "SERVICE_CONTROL_POLICY", "Name": "AllowAllS3Actions", "AwsManaged": false, "Id": "p-examplepolicyid111", "Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid111", "Description": "Enables account admins to delegate permissions for any S3 actions to users and roles in their accounts." }, { "Type": "SERVICE_CONTROL_POLICY", "Name": "AllowAllEC2Actions", "AwsManaged": false, "Id": "p-examplepolicyid222", "Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid222", "Description": "Enables account admins to delegate permissions for any EC2 actions to users and roles in their accounts." }, { "AwsManaged": true, "Description": "Allows access to every operation", "Type": "SERVICE_CONTROL_POLICY", "Id": "p-FullAWSAccess", "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess", "Name": "FullAWSAccess" } ] }
  • API 詳細については、ListPolicies「」の「」を参照してください 。AWS CLI コマンドリファレンス

Python
SDK for Python (Boto3)
注記

については、「」を参照してください GitHub。完全な例を検索し、 でセットアップして実行する方法を学びます。 AWS コード例リポジトリ

def list_policies(policy_filter, orgs_client): """ Lists the policies for the account, limited to the specified filter. :param policy_filter: The kind of policies to return. :param orgs_client: The Boto3 Organizations client. :return: The list of policies found. """ try: response = orgs_client.list_policies(Filter=policy_filter) policies = response["Policies"] logger.info("Found %s %s policies.", len(policies), policy_filter) except ClientError: logger.exception("Couldn't get %s policies.", policy_filter) raise else: return policies
  • API 詳細については、ListPolicies「」の「」を参照してください 。AWS SDK for Python (Boto3) APIリファレンス

ルート、OU、またはアカウントにアタッチされているポリシーを一覧表示する

最小アクセス許可

組織内のルート、組織単位 (OU)、またはアカウントにアタッチされたポリシーを一覧表示するには、次のアクセス許可が必要です。

  • organizations:ListPoliciesForTarget 指定されたターゲット (または「*ARN」) の Amazon リソースネーム () を含む同じポリシーステートメント内の Resource要素を持つ

AWS Management Console
指定したルート、OU、またはアカウント に直接アタッチされているすべてのポリシーを一覧表示するには
  1. にサインインします。AWS Organizations コンソール 。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザーとしてサインインする必要があります (推奨されません)。

  2. リポジトリの []AWS アカウント ページでは、ポリシーを表示するルート、OU、またはアカウントの名前を選択します。必要な OU を見つけるには、 を展開 OUs ( を選択 Gray cloud icon representing cloud computing or storage services. ) する必要がある場合があります。

  3. ルート、OU、またはアカウントページで、[Policies] (ポリシー) タブを選択します。

    [Policies] (ポリシー) タブでは、そのルート、OU、またはアカウントにアタッチされているすべてのポリシーが、ポリシータイプ別にグループ化されて表示されます。

AWS CLI & AWS SDKs
指定したルート、OU、またはアカウント に直接アタッチされているすべてのポリシーを一覧表示するには

エンティティにアタッチされているポリシーを一覧表示するには、次のいずれかのコマンドを使用します。

  • AWS CLI: list-policies-for-target

    次の例では、指定された OU にアタッチされているすべてのサービスコントロールポリシーを一覧表示します。ルート、OU、またはアカウントの ID、および一覧表示するポリシーのタイプを指定する必要があります。

    $ aws organizations list-policies-for-target \ --target-id ou-a1b2-f6g7h222 \ --filter SERVICE_CONTROL_POLICY { "Policies": [ { "Id": "p-FullAWSAccess", "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess", "Name": "FullAWSAccess", "Description": "Allows access to every operation", "Type": "SERVICE_CONTROL_POLICY", "AwsManaged": true } ] }
  • AWS SDKs: ListPoliciesForTarget

ポリシーがアタッチされているすべてのルートOUs、、およびアカウントの一覧表示

最小アクセス許可

ポリシーがアタッチされているエンティティを一覧表示するには、次のアクセス権限が必要です。

  • organizations:ListTargetsForPolicy 指定されたポリシー (または「*」) ARNの を含む同じポリシーステートメント内の Resource要素を持つ

AWS Management Console
指定されたポリシーがアタッチされているすべてのルートOUs、、およびアカウントを一覧表示するには
  1. にサインインします。AWS Organizations コンソール 。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザー (推奨されません) としてサインインする必要があります。

  2. ポリシーページで、ポリシータイプを選択してから、添付ファイルを確認するポリシーの名前を選択します。

  3. [Targets] (ターゲット) タブを選択し、選択したポリシーがアタッチされているすべてのルート、OU、およびアカウントのテーブルを表示します。

AWS CLI & AWS SDKs
指定されたポリシーがアタッチされているすべてのルートOUs、、およびアカウントを一覧表示するには

ポリシーを含むエンティティを一覧表示するには、次のいずれかのコマンドを使用します。

  • AWS CLI: list-targets-for-policy

    次の例は、指定されたポリシーのルート、OUs、および アカウントへのすべての添付ファイルを示しています。

    $ aws organizations list-targets-for-policy \ --policy-id p-FullAWSAccess { "Targets": [ { "TargetId": "ou-a1b2-f6g7h111", "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h111", "Name": "testou2", "Type": "ORGANIZATIONAL_UNIT" }, { "TargetId": "ou-a1b2-f6g7h222", "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222", "Name": "testou1", "Type": "ORGANIZATIONAL_UNIT" }, { "TargetId": "123456789012", "Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012", "Name": "My Management Account (bisdavid)", "Type": "ACCOUNT" }, { "TargetId": "r-a1b2", "Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2", "Name": "Root", "Type": "ROOT" } ] }
  • AWS SDKs: ListTargetsForPolicy

ポリシーの詳細の取得

最小アクセス許可

ポリシーの詳細を表示するには、次のアクセス権限が必要です。

  • organizations:DescribePolicy 指定されたポリシー (または「*」) ARNの を含む同じポリシーステートメント内の Resource要素を持つ

ポリシーの詳細を取得するには
  1. にサインインします。AWS Organizations コンソール 。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザー (推奨されません) としてサインインする必要があります。

  2. ポリシーページで、確認するポリシーのポリシータイプを選択してから、ポリシーの名前を選択します。

    ポリシーページには、、ARN説明、アタッチされたターゲットなど、ポリシーに関する利用可能な情報が表示されます。

    • コンテンツタブには、ポリシーの現在の内容を JSON 形式で表示します。

    • ターゲットタブには、ポリシーがアタッチされているルート、OUs、およびアカウントのリストが表示されます。

    • [Tags] (タグ) タブには、ポリシーにアタッチされたタグが表示されます。注: タグタブは では使用できません。 AWS マネージドポリシー。

    ポリシーを編集するには、[Edit policy] (ポリシーの編集) を選択します。編集要件はポリシータイプごとに異なるため、指定したポリシータイプのポリシーの作成および更新手順を参照してください。

以下のコード例は、DescribePolicy の使用方法を示しています。

CLI
AWS CLI

ポリシーに関する情報を取得するには

次の例は、ポリシーに関する情報をリクエストする方法を示しています。

aws organizations describe-policy --policy-id p-examplepolicyid111

出力には、ポリシーの詳細を含むポリシーオブジェクトが含まれます。

{ "Policy": { "Content": "{\n \"Version\": \"2012-10-17\",\n \"Statement\": [\n {\n \"Effect\": \"Allow\",\n \"Action\": \"*\",\n \"Resource\": \"*\"\n }\n ]\n}", "PolicySummary": { "Arn": "arn:aws:organizations::111111111111:policy/o-exampleorgid/service_control_policy/p-examplepolicyid111", "Type": "SERVICE_CONTROL_POLICY", "Id": "p-examplepolicyid111", "AwsManaged": false, "Name": "AllowAllS3Actions", "Description": "Enables admins to delegate S3 permissions" } } }
  • API 詳細については、DescribePolicy「」の「」を参照してください 。AWS CLI コマンドリファレンス

Python
SDK for Python (Boto3)
注記

については、「」を参照してください GitHub。完全な例を検索し、 でセットアップして実行する方法を学びます。 AWS コード例リポジトリ

def describe_policy(policy_id, orgs_client): """ Describes a policy. :param policy_id: The ID of the policy to describe. :param orgs_client: The Boto3 Organizations client. :return: The description of the policy. """ try: response = orgs_client.describe_policy(PolicyId=policy_id) policy = response["Policy"] logger.info("Got policy %s.", policy_id) except ClientError: logger.exception("Couldn't get policy %s.", policy_id) raise else: return policy
  • API 詳細については、DescribePolicy「」の「」を参照してください 。AWS SDK for Python (Boto3) APIリファレンス