翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サービスコントロールポリシーのアタッチとデタッチ
組織の管理アカウントにサインインすると、前に作成したサービスコントロールポリシー (SCP) をアタッチできます。SCP は、組織ルート、組織単位 (OU)、または直接アカウントにアタッチすることができます。SCP を作成するには、次の手順を実行します。
SCP をルート、OU、またはアカウントにアタッチするには、次のアクションを実行する権限が必要です。
- AWS Management Console
-
SCP をアタッチするには、ポリシーをアタッチするルート、OU、またはアカウントに移動する必要があります。
ルート、OU、またはアカウントに移動して SCP をアタッチするには
-
AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。
-
AWS アカウント ページで、SCP をアタッチするルート、OU、またはアカウントの横にあるチェックボックスに移動してオンにします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 (
を選択) する必要があります。
-
[Policies] (ポリシー) タブの [Service control policies] (サービスコントロールポリシー) で、[Attach] (アタッチ) を選択します。
-
目的のポリシーを見つけて [Attach policy] (ポリシーのアタッチ) を選択します。
[Policies] (ポリシー) タブで、アタッチされている SCP のリストが更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに有効になり、アタッチされたアカウントや、アタッチされたルートまたは OU の下のすべてのアカウントの IAM ユーザーとロールのアクセス許可に影響します。
ポリシーに移動して SCP をアタッチするには
-
AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。
-
サービスコントロールポリシーページで、アタッチするポリシーの名前を選択します。
-
[Targets] (ターゲット) タブで [Attach] (アタッチ) を選択します。
-
ポリシーをアタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 (
を選択) する必要があります。
-
Attach policy] (ポリシーのアタッチ) を選択します。
[Targets] (ターゲット) タブで、アタッチされている SCP のリストが更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに有効になり、アタッチされたアカウントや、アタッチされたルートまたは OU の下のすべてのアカウントの IAM ユーザーとロールのアクセス許可に影響します。
- AWS CLI & AWS SDKs
-
ルート、OU、またはアカウントに移動して SCP をアタッチするには
SCP をアタッチするには、次のコマンドを使用します。
ポリシーの変更はすぐに有効になり、アタッチされたアカウントや、アタッチされたルートまたは OU の下のすべてのアカウントの IAM ユーザーとロールのアクセス許可に影響します。
組織ルート、OU、またはアカウントからの SCP のデタッチ
組織の管理アカウントにサインインすると、アタッチされている組織ルート、OU、またはアカウントから SCP をデタッチすることができます。SCP をエンティティからデタッチすると、その SCP は、デタッチされたエンティティの影響を受けた IAM ユーザーや IAM ロールには適用されなくなります。SCP をデタッチするには、次の手順を実行します。
ルート、OU、またはアカウントから最後の SCP をデタッチすることはできません。すべてのルート、OU、アカウントには常に少なくとも 1 つの SCP がアタッチされている必要があります。
ルート、OU、またはアカウントから SCP をデタッチするには、以下のアクションを実行するためのアクセス許可が必要です。
- AWS Management Console
-
SCP をデタッチするには、ポリシーまたはそのポリシーをデタッチするルート、OU、アカウントに移動する必要があります。
SCP がアタッチされているルート、OU、またはアカウントに移動して SCP をデタッチするには
-
AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。
-
AWS アカウント ページで、ポリシーをデタッチするルート、OU、またはアカウントに移動します。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 (
を選択) する必要があります。ルート、OU、またはアカウントの名前を選択します。
-
[Policies] (ポリシー) タブで、デタッチする SCP の横にあるラジオボタンを選択して、[Detach] (デタッチ) を選択します。
-
確認ダイアログボックスで、[Detach policy] (ポリシーのデタッチ) を選択します。
アタッチされている SCP のリストが更新されます。SCP のデタッチによるポリシーの変更はすぐに有効になります。例えば、SCP をデタッチすると、以前にアタッチされた 1 つ以上のアカウントの IAM ユーザーおよびロールのアクセス許可によって、以前にアタッチされた組織ルートまたは OU にすぐに影響します。
ポリシーに移動して SCP をデタッチするには
-
AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。
-
サービスコントロールポリシーページで、ルート、OU、またはアカウントからデタッチするポリシーの名前を選択します。
-
[Targets] (ターゲット) タブで、ポリシーをデタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 (
を選択) する必要があります。
-
[Detach] (デタッチ) を選択します。
-
確認ダイアログボックスで、[Detach] (デタッチ) を選択します。
アタッチされている SCP のリストが更新されます。SCP のデタッチによるポリシーの変更はすぐに有効になります。例えば、SCP をデタッチすると、以前にアタッチされた 1 つ以上のアカウントの IAM ユーザーおよびロールのアクセス許可によって、以前にアタッチされた組織ルートまたは OU にすぐに影響します。
- AWS CLI & AWS SDKs
-
ルート、OU、またはアカウントから SCP をデタッチするには
SCP をデタッチするには、次のいずれかのコマンドを使用します。
ポリシーの変更はすぐに有効になり、アタッチされたアカウントや、アタッチされたルートまたは OU の下のすべてのアカウントの IAM ユーザーとロールのアクセス許可に影響します。