サービスコントロールポリシーの例 - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスコントロールポリシーの例

このトピックに表示されるサービスコントロールポリシー (SCPs) の例は、情報提供のみを目的としています。

これらの例を使用する前に

組織SCPsでこれらの例を使用する前に、次の操作を行います。

  • 固有の要件SCPsに合わせて、 を慎重に確認し、カスタマイズします。

  • AWS のサービス 使用する を使用してSCPs、環境で を徹底的にテストします。

    このセクションのポリシー例は、 の実装と使用を示していますSCPs。これらの例は、公式な AWS 推奨事項やベストプラクティスとして解釈されることを意図したものではありません。拒否ベースのポリシーが、お客様の環境のビジネス要件を解決するために適切であるかどうかを慎重にテストする責任はお客様にあります。拒否ベースのサービスコントロールポリシーは、ポリシーに必要な例外を追加 AWS のサービス しない限り、 の使用を意図せずに制限またはブロックする可能性があります。このような例外の例については、不要な へのアクセスをブロックするルールからグローバルサービスを免除する最初の例を参照してください AWS リージョン。

  • は、アタッチされているすべてのアカウントで、ルートユーザーを含むすべてのユーザーとロールSCPに影響することに注意してください。

  • SCP はサービスにリンクされたロールには影響しないことに注意してください。サービスにリンクされたロールにより AWS のサービス 、他の は と統合 AWS Organizations でき、 によって制限することはできませんSCPs。

ヒント

サービスの最終アクセス時間データを使用して IAM を更新SCPsし、必要な のみ AWS のサービス にアクセスを制限できます。詳細については、「 ユーザーガイド」の「Organizations サービスの最終アクセスデータの表示」を参照してください。 IAM

次の各種ポリシーは、「拒否リストポリシー」戦略の例です。拒否リストポリシーは、影響を受けるアカウントの承認済みアクションを許可する他のポリシーと合わせてアタッチする必要があります。例えば、デフォルトの FullAWSAccess ポリシーは、アカウントによるすべてのサービスの使用を許可します。このポリシーは、デフォルトでルート、すべての組織単位 (OUs)、およびすべてのアカウントにアタッチされます。実際にはアクセス許可は付与されず、付与SCPされません。代わりに、そのアカウントの管理者は、アカウントのユーザー、ロール、またはグループに標準 AWS Identity and Access Management (IAM) アクセス許可ポリシーをアタッチして、これらのアクションへのアクセスを委任できます。これらの各拒否リストポリシーによって、指定されたサービスまたはアクションへのアクセスがブロックされ、ポリシーはすべて上書きされます。

目次