翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サービスコントロールポリシーのアタッチとデタッチ
組織の管理アカウントにサインインすると、前に作成したサービスコントロールポリシー (SCP) をアタッチできます。SCP は、組織ルート、組織単位 (OU)、または直接アカウントにアタッチすることができます。SCP を作成するには、次の手順を実行します。
最小アクセス許可
SCP をルート、OU、またはアカウントにアタッチするには、次のアクションを実行する権限が必要です。
-
特定のポリシーの "*" または Amazon リソースネーム (ARN) を含む同じポリシーステートメントの
Resource
要素を持つorganizations:AttachPolicy
、およびポリシーをアタッチするルート、OU、またはアカウントの ARN。
SCP をアタッチするには、ポリシーをアタッチするルート、OU、またはアカウントに移動する必要があります。
ルート、OU、またはアカウントに移動して SCP をアタッチするには
-
AWS Organizations コンソール
にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。 -
AWS アカウント
ページで、SCP をアタッチするルート、OU、またはアカウントの横にあるチェックボックスに移動してオンにします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。
-
[Policies] (ポリシー) タブの [Service control policies] (サービスコントロールポリシー) で、[Attach] (アタッチ) を選択します。
-
目的のポリシーを見つけて [Attach policy] (ポリシーのアタッチ) を選択します。
[Policies] (ポリシー) タブで、アタッチされている SCP のリストが更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに有効になり、アタッチされたアカウントや、アタッチされたルートまたは OU の下のすべてのアカウントの IAM ユーザーとロールのアクセス許可に影響します。
ポリシーに移動して SCP をアタッチするには
-
AWS Organizations コンソール
にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。 -
サービスコントロールポリシー
ページで、アタッチするポリシーの名前を選択します。 -
[Targets] (ターゲット) タブで [Attach] (アタッチ) を選択します。
-
ポリシーをアタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 (
を選択) する必要があります。
-
Attach policy] (ポリシーのアタッチ) を選択します。
[Targets] (ターゲット) タブで、アタッチされている SCP のリストが更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに有効になり、アタッチされたアカウントや、アタッチされたルートまたは OU の下のすべてのアカウントの IAM ユーザーとロールのアクセス許可に影響します。
ルート、OU、またはアカウントに移動して SCP をアタッチするには
以下のコード例は、AttachPolicy
の使用方法を示しています。
ポリシーの変更はすぐに有効になり、アタッチされたアカウントや、アタッチされたルートまたは OU の下のすべてのアカウントの IAM ユーザーとロールのアクセス許可に影響します。
組織ルート、OU、またはアカウントからの SCP のデタッチ
組織の管理アカウントにサインインすると、アタッチされている組織ルート、OU、またはアカウントから SCP をデタッチすることができます。SCP をエンティティからデタッチすると、その SCP は、現在デタッチされたエンティティの影響を受けた IAM ユーザーと IAM ロールには適用されません。SCP をデタッチするには、次の手順を実行します。
注記
ルート、OU、またはアカウントから最後の SCP をデタッチすることはできません。すべてのルート、OU、アカウントには常に少なくとも 1 つの SCP がアタッチされている必要があります。
最小アクセス許可
ルート、OU、またはアカウントから SCP をデタッチするには、以下のアクションを実行するためのアクセス許可が必要です。
-
organizations:DetachPolicy
SCP をデタッチするには、ポリシーまたはそのポリシーをデタッチするルート、OU、アカウントに移動する必要があります。
SCP がアタッチされているルート、OU、またはアカウントに移動して SCP をデタッチするには
-
AWS Organizations コンソール
にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。 -
AWS アカウント
ページで、ポリシーをデタッチするルート、OU、またはアカウントに移動します。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 ( を選択) する必要があります。ルート、OU、またはアカウントの名前を選択します。
-
[Policies] (ポリシー) タブで、デタッチする SCP の横にあるラジオボタンを選択して、[Detach] (デタッチ) を選択します。
-
確認ダイアログボックスで、[Detach policy] (ポリシーのデタッチ) を選択します。
アタッチされている SCP のリストが更新されます。SCP のデタッチによるポリシーの変更はすぐに有効になります。例えば、SCP をデタッチすると、以前にアタッチされた 1 つ以上のアカウントの IAM ユーザーおよびロールのアクセス許可によって、以前にアタッチされた組織ルートまたは OU にすぐに影響します。
ポリシーに移動して SCP をデタッチするには
-
AWS Organizations コンソール
にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。 -
サービスコントロールポリシー
ページで、ルート、OU、またはアカウントからデタッチするポリシーの名前を選択します。 -
[Targets] (ターゲット) タブで、ポリシーをデタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。場合によっては、目的の OU またはアカウントを表示するため、OU を展開 (
を選択) する必要があります。
-
[Detach] (デタッチ) を選択します。
-
確認ダイアログボックスで、[Detach] (デタッチ) を選択します。
アタッチされている SCP のリストが更新されます。SCP のデタッチによるポリシーの変更はすぐに有効になります。例えば、SCP をデタッチすると、以前にアタッチされた 1 つ以上のアカウントの IAM ユーザーおよびロールのアクセス許可によって、以前にアタッチされた組織ルートまたは OU にすぐに影響します。
ルート、OU、またはアカウントから SCP をデタッチするには
以下のコード例は、DetachPolicy
の使用方法を示しています。
ポリシーの変更はすぐに有効になり、アタッチされたアカウントや、アタッチされたルートまたは OU の下のすべてのアカウントの IAM ユーザーとロールのアクセス許可に影響します。