サービスコントロールポリシー - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスコントロールポリシー

すべてのポリシータイプに共通の情報と手順については、以下のトピックを参照してください。

サービスコントロールポリシー (SCP)

サービスコントロールポリシー (SCP) は、組織のアクセス許可の管理に使用できる組織ポリシーの一種です。SCP では、組織のすべてのアカウントで使用可能な最大アクセス許可を一元的に制御できます。SCP は、アカウントが組織のアクセスコントロールガイドラインに従っていることを確認するのに役立ちます。SCP は、すべての機能が有効になっている 組織でのみ使用できます。組織が一括請求機能のみを有効にしている場合、SCP は使用できません。SCP を有効にする方法については、「ポリシータイプの有効化と無効化」を参照してください。

組織内のアカウントにアクセス権限を付与するには、SCP だけでは不十分です。SCP によってアクセス許可は付与されません。SCP は、アカウントの管理者が影響を受けるアカウントの IAM ユーザーおよびロールに委任できるアクションにガードレールを定義するか、制限を設定します。管理者は引き続き接続する必要がありますアイデンティティベースのポリシーまたはリソースベースのポリシーを IAM ユーザーまたはロール、またはアカウントのリソースに割り当てて、実際にアクセス許可を付与します。-有効なアクセス許可は、SCP によって許可されるものと IAM およびリソースベースのポリシーによって許可されるものとの間の論理的な交差です。

重要

SCP は、管理アカウントのユーザーやロールには影響しません。組織内のメンバーアカウントにのみ影響します。

SCP の効果をテストする

AWS では、SCP を組織のルートにアタッチする前に、そのポリシーがアカウントに与える影響を詳細にテストすることが強く推奨されます。代わりに、お客様のアカウントを一度に 1 つずつ、または少なくとも少人数ずつ移動できる OU を作成し、誤って主要なサービスからユーザーを締め出すことのないようにします。アカウントによってサービスが使用されているかどうかを判断する方法の 1 つは、IAM のサービスの最終アクセス時間データ。もう 1 つの方法は、API レベルでサービスの使用状況をログに記録する AWS CloudTrail を使用します。

SCP の上限サイズ

SCP 内のすべての文字は、その上限サイズに対してカウントされます。このガイドの例では、読みやすさを向上させるため、空白文字を追加してフォーマットされた SCP を示します。ただし、ポリシーサイズが上限サイズに近づいている場合は、スペースを節約するために、引用符の外側にあるすべての空白文字 (スペースや改行など) を削除できます。

ヒント

ビジュアルエディタを使用して SCP を構築します。これによって、よけいな空白が自動的に削除されます。

OU 階層におけるSCPの継承

SCP 継承がどのように機能するかの詳細な説明については、サービスコントロールポリシーの継承

アクセス許可における効果

SCPはAWS Identity and Access Management(IAM) アクセス許可ポリシーを使用し、ほぼ同じ構文を使用します。ただし、SCP がアクセス権限を付与することはありません。代わりに、SCP は、影響を受けるアカウントのアクセス権限の上限を指定する JSON ポリシーです。詳細については、「」を参照してください。ポリシーの評価論理()IAM ユーザーガイド

  • SCPIAM ユーザーとロールにのみ影響する組織の一部であるアカウントによって管理されます。SCP はリソースベースのポリシーには直接影響しません。また、組織外のアカウントに属するユーザーやロールにも影響しません。組織内のアカウント A が所有する Amazon S3 バケットを例とします。このバケットポリシー (リソースベースのポリシー) は、組織外のアカウント B のユーザーにアクセスを許可します。アカウント A には SCP がアタッチされています。この SCP はアカウント B の外部ユーザーに適用されません。SCP は、組織内のアカウント A が管理するユーザーにのみ適用されます。

  • SCP は、メンバーアカウントの IAM ユーザーとロール (メンバーアカウントのルートユーザーなど) のアクセス許可を制限します。すべてのアカウントには、その上位のすべての親で許可されている権限のみがあります。アクセス許可が、暗黙的に (Allow ポリシーステートメントに含まれない)、または明示的に (Deny ポリシーステートメントに含まれる)、アカウントのレベルでブロックされている場合、影響を受けるアカウントのユーザーまたはロールは、アカウント管理者が */* アクセス許可を持つ AdministratorAccess IAM ポリシーをユーザーにアタッチしても、そのアクセス許可を使用することはできません。

  • SCPs のみに影響するmember組織内のアカウントに入ります。管理アカウントのユーザーやロールには影響しません。

  • ユーザーとロールに適切な IAM アクセス権限ポリシーでアクセス権限を付与する必要があります。IAM アクセス許可ポリシーを持たないユーザーは、たとえ適用可能な SCP によってすべてのサービスとアクションが許可されても、いずれのサービスもアクセスも許可されません。

  • アクションへのアクセスを許可する IAM アクセス許可ポリシーがユーザーまたはロールに付与されており、そのアクションが適用可能な SCP によって許可されている場合、ユーザーまたはロールはそのアクションを実行できます。

  • アクションへのアクセスを許可する IAM アクセス許可ポリシーがユーザーまたはロールに付与されており、そのアクションが適用可能な SCP によって許可されていないか、または明示的に拒否されている場合、ユーザーまたはロールがそのアクションを実行することはできません。

  • SCP は、アタッチされたアカウントのすべてのユーザーやロール (ルートユーザーを含む) に影響します。唯一の例外は、「SCP によって制限されないタスクおよびエンティティ」で説明されているものです。

  • SCP はサービスにリンクされたロールに影響しません。サービスにリンクされたロールを使用して、他の AWS のサービスを AWS Organizations と統合できます。SCP によって制限することはできません。

  • ルートの SCP ポリシータイプを無効にすると、そのルートのすべての AWS Organizations エンティティからすべての SCP が自動的にデタッチされます。AWS Organizations エンティティには、組織単位、組織、およびアカウントが含まれます。そのルートの SCP を再度有効にすると、そのルートはすべてのエンティティに自動的にアタッチされたデフォルトの FullAWSAccess ポリシーに戻ります。SCP の無効化の前に AWS Organizations にアタッチされていたすべての SCP は失われ、自動的には復旧されません。ただし、手動で再度アタッチできます。

  • アクセス許可の境界 (高度な IAM 機能) と SCP が両方存在する場合は、アクセス許可の境界、SCP、およびアイデンティティベースのポリシーによって、すべてのアクションが許可されます。

アクセスデータを使用して SCP を改善する

管理アカウントの資格情報でサインインすると、サービスの最終アクセス時間データのためにAWS OrganizationsエンティティまたはポリシーのAWS OrganizationsIAM コンソールの [] セクションに入ります。また、 を使用することもできますAWS Command Line Interface(AWS CLI) またはAWSIAM の API を使用して、サービスの最終アクセス時間データを取得します。このデータには、IAM ユーザーとロールを許可されているどのサービスに関する情報が含まれます。AWS Organizationsアカウントが最後にアクセスしようとしたときと時刻。この情報を使用して不要なアクセス許可を識別し、最小権限の原則により良く準拠するように SCP を改良できます。

たとえば、以下のようになります。拒否リスト SCP3つへのアクセスを禁止しているAWSのサービス。SCP の Deny ステートメントにリストされていないすべてのサービスが許可されます。IAM サービスの最終アクセス時間データは、AWSサービスは SCP によって許可されますが、決して使用されません。この情報により、SCP を更新して、必要でないサービスへのアクセスを拒否できます。

詳細については、IAM ユーザーガイドにある下記のトピックを参照してください。

SCP によって制限されないタスクおよびエンティティ

お客様できないSCPを使用して、次のタスクを制限します。

  • 管理アカウントによって実行されるアクション

  • サービスにリンクされたロールにアタッチされているアクセス権限を使用して実行されるすべてのアクション

  • root ユーザーとして Enterprise サポートプランに登録する

  • root ユーザーとして AWS サポートレベルを変更する

  • ルートユーザーとして Amazon CloudFront キーを管理する

  • CloudFront プライベートコンテンツに信頼された署名者機能を提供します

  • Amazon Lightsail メールサーバーの逆引きDNSをルートユーザーとして設定する

  • 一部のタスクAWS関連サービス:

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • Amazon Product Marketing API

2017年9月15日以前に作成されたメンバーアカウントのみの例外

を使用する場合SOTE作成したアカウント2017 年 9月 15 日できないSCPを使用して、これらのメンバー・アカウント内のrootユーザーが次のタスクを実行できないようにします。

重要

を使用する場合すべて作成したアカウントAfter2017 年 9 月 15 日、次の例外は適用されません。CANSCPを使用して、これらのメンバーアカウント内のrootユーザーが次のタスクを実行できないようにします。しかし、あなたがそれを確信していない限りすべて組織内のアカウントが 2017 年 9 月 15 日以降に作成された場合、これらのオペレーションを制限するために SCP に依存しないことをお勧めします。

  • root ユーザーの Multi-Factor Authentication を有効化または無効化

  • root ユーザーの x.509 キーの作成、更新、または削除

  • root ユーザーのパスワードの変更

  • ルートアクセスキーの作成、更新、または削除