サービスコントロールポリシーのアタッチとデタッチ

組織の管理アカウントにサインインすると、前に作成したサービスコントロールポリシー (SCP) をアタッチできます。SCP は、組織ルート、組織単位 (OU)、または直接アカウントにアタッチすることができます。SCP を作成するには、次の手順を実行します。

最小アクセス許可

SCP をルート、OU、またはアカウントにアタッチするには、次のアクションを実行する権限が必要です。

特定のポリシーの "*" または Amazon リソースネーム (ARN) を含む同じポリシーステートメントの Resource 要素を持つ organizations:AttachPolicy、およびポリシーをアタッチするルート、OU、またはアカウントの ARN。

AWS Management Console

SCP をアタッチするには、ポリシーをアタッチするルート、OU、またはアカウントに移動する必要があります。

ルート、OU、またはアカウントに移動して SCP をアタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。
AWS アカウント ページで、SCP をアタッチするルート、OU、またはアカウントの横にあるチェックボックスに移動してオンにします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
[Policies] (ポリシー) タブの [Service control policies] (サービスコントロールポリシー) で、[Attach] (アタッチ) を選択します。
目的のポリシーを見つけて [Attach policy] (ポリシーのアタッチ) を選択します。

[Policies] (ポリシー) タブで、アタッチされている SCP のリストが更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに有効になり、アタッチされたアカウントや、アタッチされたルートまたは OU の下のすべてのアカウントの IAM ユーザーとロールのアクセス許可に影響します。

ポリシーに移動して SCP をアタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。
サービスコントロールポリシーページで、アタッチするポリシーの名前を選択します。
[Targets] (ターゲット) タブで [Attach] (アタッチ) を選択します。
ポリシーをアタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
Attach policy] (ポリシーのアタッチ) を選択します。

[Targets] (ターゲット) タブで、アタッチされている SCP のリストが更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに有効になり、アタッチされたアカウントや、アタッチされたルートまたは OU の下のすべてのアカウントの IAM ユーザーとロールのアクセス許可に影響します。

AWS CLI & AWS SDKs

ルート、OU、またはアカウントに移動して SCP をアタッチするには

SCP をアタッチするには、次のコマンドを使用します。

AWS CLI: attach-policy

次の例では、SCP を OU にアタッチします。
```
$ aws organizations attach-policy \
    --policy-id p-i9j8k7l6m5 \
    --target-id ou-a1b2-f6g7h222
```
このコマンドが成功した場合、出力は生成されません。
AWS SDK: AttachPolicy

ポリシーの変更はすぐに有効になり、アタッチされたアカウントや、アタッチされたルートまたは OU の下のすべてのアカウントの IAM ユーザーとロールのアクセス許可に影響します。

組織ルート、OU、またはアカウントからの SCP のデタッチ

組織の管理アカウントにサインインすると、アタッチされている組織ルート、OU、またはアカウントから SCP をデタッチすることができます。SCP をエンティティからデタッチすると、その SCP は、デタッチされたエンティティの影響を受けた IAM ユーザーや IAM ロールには適用されなくなります。SCP をデタッチするには、次の手順を実行します。

注記

ルート、OU、またはアカウントから最後の SCP をデタッチすることはできません。すべてのルート、OU、アカウントには常に少なくとも 1 つの SCP がアタッチされている必要があります。

最小アクセス許可

ルート、OU、またはアカウントから SCP をデタッチするには、以下のアクションを実行するためのアクセス許可が必要です。

organizations:DetachPolicy

AWS Management Console

SCP をデタッチするには、ポリシーまたはそのポリシーをデタッチするルート、OU、アカウントに移動する必要があります。

SCP がアタッチされているルート、OU、またはアカウントに移動して SCP をデタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。
AWS アカウント ページで、ポリシーをデタッチするルート、OU、またはアカウントに移動します。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。ルート、OU、またはアカウントの名前を選択します。
[Policies] (ポリシー) タブで、デタッチする SCP の横にあるラジオボタンを選択して、[Detach] (デタッチ) を選択します。
確認ダイアログボックスで、[Detach policy] (ポリシーのデタッチ) を選択します。

アタッチされている SCP のリストが更新されます。SCP のデタッチによるポリシーの変更はすぐに有効になります。例えば、SCP をデタッチすると、以前にアタッチされた 1 つ以上のアカウントの IAM ユーザーおよびロールのアクセス許可によって、以前にアタッチされた組織ルートまたは OU にすぐに影響します。

ポリシーに移動して SCP をデタッチするには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。
サービスコントロールポリシーページで、ルート、OU、またはアカウントからデタッチするポリシーの名前を選択します。
[Targets] (ターゲット) タブで、ポリシーをデタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
[Detach] (デタッチ) を選択します。
確認ダイアログボックスで、[Detach] (デタッチ) を選択します。

アタッチされている SCP のリストが更新されます。SCP のデタッチによるポリシーの変更はすぐに有効になります。例えば、SCP をデタッチすると、以前にアタッチされた 1 つ以上のアカウントの IAM ユーザーおよびロールのアクセス許可によって、以前にアタッチされた組織ルートまたは OU にすぐに影響します。

AWS CLI & AWS SDKs

ルート、OU、またはアカウントから SCP をデタッチするには

SCP をデタッチするには、次のいずれかのコマンドを使用します。

AWS CLI: detach-policy

次の例では、指定した SCP を指定した OU から切り離します。
```
$ aws organizations detach-policy \
    --policy-id p-i9j8k7l6m5 \
    --target-id ou-a1b2-f6g7h222
```
AWS SDK: DetachPolicy

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

作成、更新、削除

SCP 評価