サービスコントロールポリシーの例 - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスコントロールポリシーの例

このトピックで表示されているサービスコントロールポリシー (SCP) の例は、情報提供のみを目的としています。

これらの例を使用する前に

組織内でこれらの SCP の例を使用する前に、次の操作を行います。

  • お客様固有の要件に応じて SCP を慎重に確認し、カスタマイズします。

  • 環境内のSCPを徹底的にテストするには、AWSサービスを使用することもできます。

    このセクションのポリシー例は、SCPの実装と使用を示しています。彼らはない公式と解釈されることを意図しているAWS推奨事項またはベストプラクティスを示されているとおりに実装する必要があります。お客様の環境のビジネス要件を解決するために、その適合性について拒否ベースのポリシーを慎重にテストすることは、お客様の責任です。拒否ベースのサービス制御ポリシーにより、AWSサービスをサポートします。ただし、必要な例外をポリシーに追加する場合を除きます。このような例外の例については、不要なアクセスをブロックするルールからグローバルサービスを免除する最初の例を参照してください。 AWS リージョン 。

  • SCP はすべてのユーザーとロールに影響することを忘れないでくださいが関連付けられているすべてのアカウントで。

ヒント

次を使用できます。サービスの最終アクセス時間データIAMを使用してSCPを更新し、AWSサービスを利用できます。詳細については、「」を参照してください。Organizations サービスの最終アクセス時間データの表示()IAM ユーザーガイド

次の各種ポリシーは、「拒否リストポリシー」戦略の例です。拒否リストポリシーは、影響を受けるアカウントの承認済みアクションを許可する他のポリシーと合わせてアタッチする必要があります。たとえば、デフォルトの FullAWSAccess ポリシーは、アカウントによるすべてのサービスの使用を許可します。このポリシーは、デフォルトによって、ルート、すべての組織ユニット (OU)、およびすべてのアカウントにアタッチされます。実際、アクセス許可は付与されません。付与する SCP がないためです。代わりに、そのアカウントの管理者は、標準のAWS Identity and Access Management(IAM) アクセス許可ポリシーを、アカウントのユーザー、ロール、またはグループに適用します。これらの各拒否リストポリシーによって、指定されたサービスまたはアクションへのアクセスがブロックされ、ポリシーはすべて上書きされます。

目次