サービスコントロールポリシーの例 - AWS Organizations

サービスコントロールポリシーの例

このトピックで表示されているサービスコントロールポリシー (SCP) の例は、情報提供のみを目的としています。

これらの例を使用する前に

組織内でこれらの SCP の例を使用する前に、以下のことを実行します。

  • お客様の固有要件に応じて SCP を慎重にレビューし、カスタマイズします。

  • 使用する AWS のサービスを使用して、環境内の SCP の完全なテストを実施します。

    このセクションのポリシーの例では、SCP の実装と使用について説明します。これらの例は、公式な AWS 推奨事項やベストプラクティスとして解釈されることを意図したものではありません。拒否ベースのポリシーが、お客様の環境のビジネス要件を解決するために適切であるかどうかを慎重にテストする責任はお客様にあります。拒否ベースのサービスコントロールポリシーでは、必要な例外をポリシーに追加しない限り、意図せず AWS のサービスの利用を制限またはブロックしてしまうことがあります。このような例外の例については、不要な AWS リージョン へのアクセスをブロックするルールで、グローバルサービスを除外する 1 つ目の例を参照してください。

  • SCP は、ルートユーザーを含む、それが関連付けられているすべてのアカウントのすべてのユーザーとロールに影響することに注意してください。

ヒント

IAMサービスの最終アクセス時間データを使用して SCP を更新し、必要な AWS サービスのみへのアクセスを制限できます。詳細については、IAM ユーザーガイドの「組織の Organizations サービスの最終アクセス時間データを表示する」を参照してください。

次の各種ポリシーは、「拒否リストポリシー」戦略の例です。拒否リストポリシーは、影響を受けるアカウントの承認済みアクションを許可する他のポリシーと合わせてアタッチする必要があります。例えば、デフォルトの FullAWSAccess ポリシーは、アカウントによるすべてのサービスの使用を許可します。このポリシーは、デフォルトによって、ルート、すべての組織単位 (OU)、およびすべてのアカウントにアタッチされます。実際、アクセス許可は付与されません。付与する SCP がないためです。代わりに、そのアカウントの管理者は、アカウントのユーザーやロール、またはグループに標準の AWS Identity and Access Management (IAM) アクセス許可ポリシーをアタッチすることで、それらのアクションへのアクセスを委譲することができます。これらの各拒否リストポリシーによって、指定されたサービスまたはアクションへのアクセスがブロックされ、ポリシーはすべて上書きされます。

目次