翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サービスコントロールポリシー (SCPs)
サービスコントロールポリシー (SCPs) は、組織内のアクセス許可を管理するために使用できる組織ポリシーの一種です。SCPs は、組織内のIAMユーザーとIAMロールが利用できるアクセス許可の最大数を一元的に制御できます。SCPs は、アカウントが組織のアクセスコントロールガイドラインの範囲内に収まるようにするのに役立ちます。SCPs は、すべての機能が有効になっている組織でのみ使用できます。SCPs は、組織が一括請求機能のみを有効にしている場合は使用できません。を有効にする手順については、SCPs「」を参照してくださいポリシータイプの有効化と無効化。
SCPs は、組織内のIAMユーザーとIAMロールにアクセス許可を付与しません。によってアクセス許可が付与されることはありませんSCP。は、組織内のIAMユーザーとIAMロールが実行できるアクションに対するアクセス許可ガードレールSCPを定義するか、制限を設定します。アクセス許可を付与するには、管理者はアクセスを制御するポリシーをアタッチする必要があります。例えば、IAMユーザーとIAMロールにアタッチされたアイデンティティベースのポリシーや、アカウントのリソースにアタッチされたリソースベースのポリシーなどです。有効なアクセス許可は、 で許可されているものと、アイデンティティおよびリソースベースのポリシーで許可されているSCPものとの間の論理的な共通部分です。
重要
SCPs 管理アカウントのユーザーまたはロールには影響しません。SCP は、組織内のメンバーアカウントにのみ影響を与えます。
トピック
の影響のテスト SCPs
AWS では、ポリシーがアカウントに与える影響を徹底的にテストせずに、組織のルートSCPsに をアタッチしないことを強くお勧めします。代わりに、お客様のアカウントを一度に 1 つずつ、または少なくとも少人数ずつ移動できる OU を作成し、誤って主要なサービスからユーザーを締め出すことのないようにします。サービスがアカウントによって使用されているかどうかを判断する 1 つの方法は、 でサービスの最終アクセス時間データIAMを調べることです。もう 1 つの方法は、 AWS CloudTrail を使用して、 APIレベルでサービスの使用状況をログに記録することです。
注記
FullAWSAccess ポリシーを変更したり、許可されたアクションで別のポリシーに置き換えたりしない限り、F ポリシーを削除しないでください。そうしないと、メンバーアカウントからのすべての AWS アクションが失敗します。
の最大サイズ SCPs
のすべての文字は、最大サイズ に対してSCPカウントされます。このガイドの例では、読みやすさを向上させるために、余分な空白でSCPsフォーマットされた を示しています。ただし、ポリシーサイズが上限サイズに近づいている場合は、スペースを節約するために、引用符の外側にあるすべての空白文字 (スペースや改行など) を削除できます。
ヒント
ビジュアルエディタを使用して を構築しますSCP。これによって、よけいな空白が自動的に削除されます。
組織内のさまざまなレベルSCPsへのアタッチ
SCPs 仕組みの詳細については、「」を参照してくださいSCP 評価。
SCP アクセス許可への影響
SCPs は AWS Identity and Access Management (IAM) アクセス許可ポリシーに似ており、ほぼ同じ構文を使用します。ただし、 がアクセス許可を付与SCPすることはありません。代わりに、 SCPsは組織内のIAMユーザーとIAMロールに対する最大アクセス許可を指定するJSONポリシーです。詳細については、「 ユーザーガイド」の「ポリシー評価ロジックIAM」を参照してください。
-
SCPs は、組織の一部であるアカウントによって管理されるIAMユーザーとロールにのみ影響します。SCPs はリソースベースのポリシーに直接影響しません。また、組織外のアカウントに属するユーザーやロールにも影響しません。組織内のアカウント A が所有する Amazon S3 バケットについて考えてみます。このバケットポリシー (リソースベースのポリシー) は、組織外のアカウント B に属するユーザーにアクセスを許可します。アカウント A には がアSCPタッチされています。これは、アカウント B の外部ユーザーSCPには適用されません。 は、組織内のアカウント A によって管理されているユーザーSCPにのみ適用されます。
-
は、メンバーアカウントのルートIAMユーザーを含む、メンバーアカウントのユーザーとロールのアクセス許可SCPを制限します。すべてのアカウントには、その上位のすべての親で許可されている権限のみがあります。アカウントの上位の任意のレベルで、暗黙的 (
Allow
ポリシーステートメントに含まれない) または明示的に (Deny
ポリシーステートメントに含まれる) アクセス許可がブロックされている場合、アカウント管理者がユーザーに */* アクセス許可でAdministratorAccess
IAMポリシーをアタッチした場合でも、影響を受けるアカウントのユーザーまたはロールはそのアクセス許可を使用できません。 -
SCPs は、組織内のメンバーアカウントにのみ影響します。管理アカウントのユーザーやロールには影響しません。
-
ユーザーとロールには、引き続き適切なアクセス許可ポリシーを持つIAMアクセス許可を付与する必要があります。アクセスIAM許可ポリシーのないユーザーは、該当する がすべての サービスとすべてのアクションSCPsを許可している場合でも、アクセスできません。
-
ユーザーまたはロールに、該当する でも許可されているアクションへのアクセスを許可するIAMアクセス許可ポリシーがある場合SCPs、ユーザーまたはロールはそのアクションを実行できます。
-
ユーザーまたはロールに、該当する によって許可または明示的に拒否されていないアクションへのアクセスを許可するIAMアクセス許可ポリシーがある場合SCPs、ユーザーまたはロールはそのアクションを実行できません。
-
SCPs は、ルートユーザー を含む、アタッチされたアカウントのすべてのユーザーとロールに影響します。唯一の例外は、「によって制限されていないタスクとエンティティ SCPs」で説明されているものです。
-
SCPs は、サービスにリンクされたロールには影響しません。サービスにリンクされたロールにより AWS サービス 、他の は AWS Organizations と統合でき、 によって制限することはできませんSCPs。
-
ルートでSCPポリシータイプを無効にすると、そのルート内のすべての AWS Organizations エンティティからすべてのエンティティSCPsが自動的にデタッチされます。 AWS Organizations エンティティには、組織単位、組織、アカウントが含まれます。ルートSCPsで を再度有効にすると、そのルートはルート内のすべてのエンティティに自動的にアタッチされたデフォルトの
FullAWSAccess
ポリシーのみに戻ります。以前の から AWS Organizations エンティティSCPsへの添付ファイルSCPsは失われ、手動で再アタッチすることはできますが、自動的に回復することはできません。 -
アクセス許可の境界 (高度なIAM機能) と の両方SCPが存在する場合、境界、SCP、およびアイデンティティベースのポリシーで、すべて アクションを許可する必要があります。
アクセスデータを使用した改善 SCPs
管理アカウントの認証情報を使用してサインインすると、 IAMコンソールの AWS Organizationsセクションで AWS Organizations エンティティまたはポリシーのサービスの最終アクセスデータを表示できます。 AWS Command Line Interface (AWS CLI) または AWS API を で使用IAMして、サービスの最終アクセスデータを取得することもできます。このデータには、 AWS Organizations アカウント内のIAMユーザーとロールが最後にアクセスを試みた許可された のサービス、およびいつアクセスを試みたかに関する情報が含まれます。この情報を使用して未使用のアクセス許可を識別し、最小特権 の原則に準拠SCPsするように を絞り込むことができます。
例えば、3 つの へのアクセスを禁止する拒否リストSCPがあるとします AWS サービス。SCPの Deny
ステートメントにリストされていないすべてのサービスが許可されます。のサービスの最終アクセス時間データIAMには、 で AWS サービス 許可されているSCPが、使用されていないデータが表示されます。この情報を使用して、 を更新SCPして、不要なサービスへのアクセスを拒否できます。
詳細については、 IAMユーザーガイドの以下のトピックを参照してください。
によって制限されていないタスクとエンティティ SCPs
SCPs を使用して以下のタスクを制限することはできません。
-
管理アカウントによって実行されるすべてのアクション
-
サービスにリンクされたロールにアタッチされたアクセス許可を使用して実行されるすべてのアクション。
-
root ユーザーとして Enterprise サポートプランに登録する
-
ルートユーザーとして AWS サポートレベルを変更する
-
CloudFront プライベートコンテンツに信頼できる署名者機能を提供する
-
Amazon Lightsail E メールサーバーと Amazon EC2インスタンスDNSのリバースをルートユーザーとして設定する
-
一部の AWS関連サービスのタスク:
-
Alexa Top Sites
-
Alexa Web Information Service
-
Amazon Mechanical Turk
-
Amazon 製品マーケティング API
-