サービスコントロールポリシーの継承 - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスコントロールポリシーの継承

重要

このセクションの情報は、ないは、AI サービスのオプトアウトポリシー、バックアップポリシー、タグポリシーなどの管理ポリシータイプに適用されます。次のセクション「ポリシー構文と管理ポリシータイプの継承」を参照してください。

サービスコントロールポリシー (SCP)

サービスコントロールポリシーの継承は、以下のツリーのすべての部分にアクセス許可が流れるフィルターのように動作します。組織の逆ツリー構造が、ルートからすべての OU に接続し、アカウントで終わるブランチで構成されているとします。すべての AWS アクセス許可はツリーのルートに流れます。次に、これらのアクセス許可は、ルート、OU、およびアカウントにアタッチされた SCP を通過して、リクエストを行うプリンシパル (IAM ロールまたはユーザー) に到達する必要があります。各 SCP は、その下のレベルに渡されるアクセス許可をフィルタリングできます。アクションが Deny ステートメントによってブロックされた場合、その SCP の影響を受けるすべての OU およびアカウントは、そのアクションへのアクセスを拒否されます。下位レベルの SCP は、上位レベルの SCP によってブロックされたアクセス許可を追加できません。SCP はフィルタリングのみが可能で、アクセス許可を追加することはできません。

SCP は、ポリシーの要素が子 OU とアカウントによって継承される方法を変更する継承演算子をサポートしていません。

次の図では SCP の仕組みを示しています。

この図では、左側の楕円が、組織のルートにアタッチされている SCP を表していると仮定します。このルートには、アクセス権限 A、B、および C が許可されています。組織単位 (OU) には、右側の楕円で表される 2 つ目の SCP がアタッチされています。2 つ目の SCP でアクセス権限 C、D、および E が許可されています。ルートにアタッチされている SCP は D または E を許可していないため、組織内の OU またはアカウントはそれらを使用できません。OU にアタッチされている SCP が D と E を明示的に許可しても、ルートにアタッチされている SCP によってブロックされるため、それらはブロックされます。OU の SCP が A や B を許可していないため、その OU とその子 OU またはアカウントに対するこれらのアクセス許可はブロックされます。ただし、ルートの下に存在する他の OU では、A や B を許可することができます。

OU の階層をアカウントまで下に移動すると、前の段落のプロセスが各 OU で繰り返され、最後にアカウントとともに繰り返されます。各レベルでは、親での評価の結果が図の左側にあるポリシーになり、子 OU にアタッチされた SCP と比較されます。

たとえば、ツリーを下に X という子OU に移動する場合、左側の楕円が、階層内の OU X の上位にあるすべての SCP によって許可されている継承された有効なアクセス許可を表しているとします。右側の楕円は、OU または AWS アカウント ここでも、これらのアクセス許可の共通点は、右側のエンティティで使用できるものです。そのエンティティが AWS アカウント 場合、交差点は、そのアカウントのユーザーとロールに付与できるアクセス権限セットです。エンティティが OU の場合、交差は、その OU の子が継承できるアクセス許可のセットです。アカウント自体に到達するまで、OU 階層の下位レベルごとにこのプロセスを繰り返します。最終的な有効なポリシーは、そのアカウントの上位にあるすべての SCP によって許可され、それにアタッチされたアクセス許可の一覧です。

これは、許可することを意味します。AWSサービス API をメンバーアカウントレベルで許可するには、everyレベルを、メンバーアカウントと組織のルート間で設定します。組織のルートからすべてのレベルに SCP をメンバーアカウントに関連付ける必要があります。AWSサービス API (EC2: 実行インスタンスなど)。これには、次のいずれかの方法を使用できます。

  • A拒否リスト戦略は、FullAWSAccess既定ですべての OU およびアカウントに関連付けられている SCP。この SCP はデフォルトの暗黙的な拒否を上書きし、ルートからすべてのアカウントへのすべてのアクセス許可を明示的に許可します。ただし、追加の SCP を作成して適切な OU またはアカウントにアタッチするアクセス許可を明示的に拒否する場合を除きます。この戦略は、明示的なdenyは、常にallow。拒否ポリシーを持つ OU のレベル以下のアカウントでは、拒否された API を使用できません。また、アクセス許可を階層の下位に追加する方法はありません。詳細については、「SCP を拒否リストとして使用する」を参照してください。

  • あん許可リスト戦略を削除すると、FullAWSAccess既定ですべての OU およびアカウントに関連付けられている SCP。つまり、明示的に許可しない限り、API はどこでも許可されません。サービス API が AWS アカウント では、独自の SCP を作成し、そのアカウントとその上にあるすべての OU (ルートまで) にアタッチする必要があります。ルートから始まる階層内のすべての SCP は、OU とその下のアカウントで使用できるようにする API を明示的に許可する必要があります。この戦略は、明示的なallowSCPでは、暗黙的なdeny。詳細については、「SCP を許可リストと使用する」を参照してください。

暗黙的な許可と明示的な許可と拒否の点でポリシーがどのように評価されるか、および何が何が上書きされるかを確認するには、アカウント内でリクエストが許可されるか拒否されるかの判断

アカウントのユーザーとロールは、引き続き使用可能なアクセス権限を付与される必要があります。AWS Identity and Access Management(IAM) アクセス権限ポリシーは、それらやグループにアタッチされています。SCPは、権限がどのものであるかを判断します使用可能そのようなポリシーによって付与される。適用可能な SCP によって許可されていないアクションをユーザーが実行することはできません。1 つ以上の IAM アクセス権限ポリシーによりアクションがユーザーまたはロールに付与されている場合、SCP で許可されているアクションは使用できます。

SCP を組織ルートや OU に、またアカウントに直接アタッチする際、所定のアカウントに影響するすべてのポリシーは、IAM アクセス権限ポリシーを規定するルールと同じものを用いてまとめて評価されます。

  • 影響を受けるアカウントのユーザーとロールは、SCP の Deny ステートメントにリストされているアクションを実行できません。明示的な Deny ステートメントは、他の SCP により付与されるどの Allow よりも優先されます。

  • 明示的に Allow を SCP に持つ (たとえば、デフォルトの "*" SCP や、特定のサービスやアクションを呼び出すその他の SCP) 任意のアクションは、影響を受けるアカウントのユーザーおよびロールに移譲できます。

  • SCP により明示的に許可されていない任意のアクションは、暗示的に拒否され、影響を受けるアカウントのユーザーまたはロールに委任できません。

デフォルトでは、FullAWSAccess と名付けられた SCP が各組織ルート、OU、アカウントにアタッチされています。このデフォルト SCP はすべてのアクションとすべてのサービスを許可します。したがって、新しい組織では SCP の作成と操作を開始するまで、既存の IAM アクセス許可はすべて継続して機能します。新しい、または修正された SCP をアカウントを含む組織ルートや OU に適用するとすぐに、ユーザーがアカウントで持つアクセス権限は SCP によりフィルタリングされます。指定のアカウントの階層の各レベルで SCP により許可されなくなると、以前は機能していたアクセス権限は拒否されるようになります。

組織ルートで SCP ポリシータイプを無効にすると、すべての SCP が組織ルート内のすべてのエンティティから自動的にデタッチされます。組織ルートで SCP を再度有効にすると、元のすべてのアタッチメントは失われ、すべてのエンティティが、デフォルトの FullAWSAccess SCP のみがアタッチされた状態にリセットされます。

SCP の構文の詳細については、「SCP 構文」を参照してください。

アカウントに適用されているすべてのポリシーと、そのポリシーの取得元の一覧を表示できます。これを行うには、[] でアカウントを選択します。AWS Organizationsconsole. アカウントの詳細ページで、[ポリシー] を選択し、右側の詳細ペインで [サービスコントロールポリシー] を選択します。アカウントの任意のコンテナまたはすべての親コンテナにポリシーをアタッチできるため、同じポリシーが複数回アカウントに適用される場合があります。アカウントに適用される効果的なポリシーは、適用可能なすべてのポリシーの許可されたアクセス許可の交点です。

SCP の使用方法の詳細については、「サービスコントロールポリシー」を参照してください。