サービスコントロールポリシー - AWS Organizations

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

サービスコントロールポリシー

すべてのポリシータイプに共通の情報と手順については、以下のトピックを参照してください。

サービスコントロールポリシー (SCP)

サービスコントロールポリシー (SCP) は、組織のアクセス許可の管理に使用できる組織ポリシーの一種です。SCPsでは、組織のすべてのアカウントで使用可能な最大アクセス許可を一元的に制御できます。SCPsは、アカウントが組織のアクセスコントロールガイドラインに従っていることを確認するのに役立ちます。SCPsは、すべての機能が有効になっている組織でのみ使用できます。SCPs組織が一括請求機能のみを有効にしている場合、 は使用できません。を有効にする手順については、「」を参照してくださいSCPs。ポリシータイプの有効化と無効化

SCPsだけでは、組織のアカウントにアクセス許可を付与するには不十分です。SCP によって付与されるアクセス許可はありません。SCP は、アカウントの管理者が影響を受けるアカウントのIAMユーザーおよびロールに委任できるアクションに対してガードレールを定義するか、制限を設定します。管理者は、実際にアクセス権限を付与するために、アイデンティティベースのポリシーまたはリソースベースのポリシーをユーザーまたはロール、またはアカウント内のリソースにアタッチする必要があります。IAM有効なアクセス許可は、SCP により許可されるものと、 IAMおよびリソースベースのポリシーにより許可されるものとの論理的な共通部分です。

重要

SCPsは、管理アカウントのユーザーまたはロールには影響しません。組織のメンバーアカウントにのみ影響します。

の効果のテストSCPs

では、ポリシーがアカウントに与える影響を徹底的にテストせずに、組織のルートAWSにアタッチしないことSCPsを強くお勧めします。代わりに、お客様のアカウントを一度に 1 つずつ、または少なくとも少人数ずつ移動できる OU を作成し、誤って主要なサービスからユーザーを締め出すことのないようにします。アカウントでサービスが使用されているかどうかを判断する方法の 1 つは、IAM のサービスの最終アクセスデータを調べます。もう 1 つの方法は、API レベルでサービスの使用状況をログに記録する AWS CloudTrail を使用します。

の最大サイズSCPs

SCP 内のすべての文字は、その上限サイズに対してカウントされます。このガイドの例では、読みやすさを向上させるため、空白文字を追加してSCPsフォーマットされた を示します。ただし、ポリシーサイズが上限サイズに近づいている場合は、スペースを節約するために、引用符の外側にあるすべての空白文字 (スペースや改行など) を削除できます。

ヒント

ビジュアルエディタを使用して SCP を構築します。これによって、よけいな空白が自動的に削除されます。

OU 階層SCPsでの の継承

SCP 継承の仕組みの詳細については、「」を参照してください。サービスコントロールポリシーの継承

アクセス許可における効果

SCPsはAWS Identity and Access Management、 (IAM) アクセス権限ポリシーと類似しており、ほぼ同じ構文を使用しています。ただし、SCP がアクセス権限を付与することはありません。代わりに、影響を受けるアカウントのアクセス許可の上限を指定する JSON ポリシーです。SCPs詳細については、『IAM ユーザーガイド』の「ポリシーの評価ロジック」を参照してください。

  • SCPsはIAM、組織の一部であるアカウントによって管理されているユーザーとロールのみに影響します。SCPsはリソースベースのポリシーに直接影響しません。また、組織外のアカウントに属するユーザーやロールにも影響しません。たとえば、組織内のアカウント A が所有する Amazon S3 バケットについて考えます。このバケットポリシー (リソースベースのポリシー) は、組織外のアカウント B のユーザーにアクセスを許可します。アカウント A には SCP がアタッチされています。この SCP は、アカウント B の外部ユーザーには適用されません。SCP は、組織内のアカウント A が管理するユーザーにのみ適用されます。

  • SCP は、メンバーアカウントのルートIAMユーザーを含め、メンバーアカウントのユーザーとロールのアクセス許可を制限します。すべてのアカウントには、その上位のすべての親で許可されている権限のみがあります。アクセス許可が、暗黙的に (Allow ポリシーステートメントに含まれない)、または明示的に (Deny ポリシーステートメントに含まれる)、アカウントのレベルでブロックされている場合、影響を受けるアカウントのユーザーまたはロールは、アカウント管理者が */* アクセス許可を持つ AdministratorAccess IAM ポリシーをユーザーにアタッチしても、そのアクセス許可を使用することはできません。

  • SCPsは、組織内のメンバーアカウントにのみ影響します。これらは、管理アカウントのユーザーまたはロールには影響しません。

  • ユーザーとロールに適切な IAM アクセス権限ポリシーでアクセス権限を付与する必要があります。IAMアクセス許可ポリシーがアタッチされていないユーザーは、たとえ適用される場合でも、すべてのサービスとアクションSCPsを許可します。

  • アクションへのアクセスを許可する IAM アクセス許可ポリシーがユーザーまたはロールに付与されており、そのアクションが適用可能な SCPs によって許可されている場合、ユーザーまたはロールはそのアクションを実行できます。

  • アクションへのアクセスを許可する IAM アクセス許可ポリシーがユーザーまたはロールに付与されており、そのアクションが適用可能な SCPs によって許可されていないか、または明示的に拒否されている場合、ユーザーまたはロールがそのアクションを実行することはできません。

  • SCPsは、ルートユーザーを含め、アタッチされたアカウントのすべてのユーザーとロールに影響します。唯一の例外は、「によって制限されないタスクおよびエンティティSCPs」で説明されているものです。

  • SCPsはサービスにリンクされたロールには影響しません。サービスにリンクされたロールを使用して、他の AWS のサービスを と統合できますAWS Organizations。 によって制限することはできません。SCPs

  • root の SCP ポリシータイプを無効にすると、その root 内のすべてのSCPsエンティティからすべて自動的にデタッチされます。AWS Organizationsエンティティには、組織単位、組織、およびアカウントが含まれます。AWS Organizationsroot SCPs で再度有効にすると、そのルートは root 内のすべてのエンティティに自動的にアタッチされたデフォルトFullAWSAccessポリシーに戻ります。無効にする前からのSCPsエンティティAWS Organizationsへの のアタッチメントはすべて失われ、自動的に復旧することはありませんが、手動で再度アタッチすることができます。SCPs

  • アクセス許可の境界 (高度な IAM 機能) と SCP が両方存在する場合は、アクセス許可の境界、SCP、およびアイデンティティのポリシーによって、すべてのアクションが許可されます。

アクセスデータを使用して改善するSCPs

管理アカウント (以前の「マスターアカウント」) の認証情報を使用してサインインすると、 コンソールのAWS OrganizationsAWS Organizationsセクションで、エンティティまたはポリシーIAMのサービスの最終アクセス時間データを表示できます。また、IAM で AWS Command Line Interface (AWS CLI) または AWS API を使用して、サービスの最終アクセス時間データを取得することもできます。このデータには、IAMアカウントのAWS Organizationsユーザーとロールが最後にアクセスを試みたサービスと日時に関する情報が含まれます。この情報を使用して未使用のアクセス許可を識別し、SCPs最小権限の原則により良く準拠するよう を改善することができます。

たとえば、3 つの AWS サービスへのアクセスを禁止する拒否リスト SCP があるとします。SCP の Deny ステートメントにリストされていないすべてのサービスが許可されます。IAM のサービスの最終アクセス時間データにより、SCP で許可されているが、一度も使用されていない AWS サービスを確認できます。この情報により、SCP を更新して、必要でないサービスへのアクセスを拒否できます。

詳細については、IAM ユーザーガイド の次のトピックを参照してください。

によって制限されないタスクおよびエンティティSCPs

を使用して以下のタスクを制限することはできません。SCPs

  • 管理アカウントによって実行されるアクション

  • サービスにリンクされたロールにアタッチされたアクセス許可を使用して実行されるすべてのアクション

  • root ユーザーとして Enterprise サポートプランに登録する

  • root ユーザーとして AWS サポートレベルを変更する

  • ルートユーザーとしてAmazon CloudFrontキーを管理する

  • 信頼された署名者に CloudFront プライベートコンテンツの機能を提供する

  • AWS アカウント E メールの上限/逆引き DNS を変更する

  • 一部の AWS 関連のサービスのタスク:

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • Amazon Product Marketing API

2017 年 9 月 15 日より前に作成されたメンバーアカウントのみの例外

2017 年 9 月 15 日より前に作成された一部のアカウントでは、 を使用してこれらのメンバーアカウントのルートユーザーが以下のタスクを実行できないようにすることはできません。SCPs

重要

2017 年 9 月 15 日以降に作成されたすべてのアカウントでは、次の例外は適用されず、 を使用して、メンバーアカウントの root ユーザーが以下のタスクを実行できないようにSCPsすることができます。ただし、組織のすべてのアカウントが 2017 年 9 月 15 日以降に作成されたことが確実でない限り、これらのオペレーションを制限することに依存しないことをお勧めします。SCPs

  • root ユーザーの Multi-Factor Authentication を有効化または無効化

  • root ユーザーの x.509 キーの作成、更新、または削除

  • root ユーザーのパスワードの変更

  • ルートアクセスキーの作成、更新、または削除