翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
管理ポリシーの継承を理解する
注記
SCP は IAM アクションの許可と拒否の両方を管理するから、このセクションの情報は SCP には当てはありません。SCP はルート、OU、アカウントに関連付けられていますが、アクションを許可するには、ルートからアカウントへのダイレクトパスにある各 OU (ターゲットアカウント自体を含む) のすべてのレベルで SCP での明示的な allow
ステートメントが必要です。AWS Organizations 階層での SCP の動作の詳細については、「SCP 評価」を参照してください。
組織内の組織エンティティ (組織ルート、組織単位 (OU)、またはアカウント) に管理ポリシーをアタッチできます。
-
管理ポリシーを組織ルートにアタッチすると、組織内のすべての OU およびアカウントがそのポリシーを継承します。
-
特定の OU に管理ポリシーをアタッチすると、その OU または子 OU の直下にあるアカウントがポリシーを継承します。
-
特定のアカウントに管理ポリシーをアタッチすると、そのアカウントにのみ影響します。
組織内の複数のレベルに管理ポリシーをアタッチできるため、アカウントは複数のポリシーを継承できます。
このセクションでは、親ポリシーと子ポリシーがアカウントの有効なポリシーにどのように処理されるかを説明します。