SCP を使用した戦略 - AWS Organizations
SCP を拒否リストとして使用するSCP を許可リストと使用する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SCP を使用した戦略

組織内のサービスコントロールポリシー (SCP) は、次のいずれかとして機能するように構成できます。

  • A拒否リスト— デフォルトでアクションは許可され、どのサービスとアクションを禁止するかを指定できます

  • あん許可リスト— デフォルトでアクションは禁止され、どのサービスとアクションを許可するかを指定できます

ヒント

次を使用できます。サービスの最終アクセス時間データIAM必要な AWS サービスのみにアクセスを制限するように SCP を更新します。詳細については、「」を参照してください。Organizations サービスの最終アクセス時間データの表示()IAM ユーザーガイド

SCP を拒否リストとして使用する

AWS Organizations デフォルトの設定では、SCP を拒否リストとしてサポートしています。拒否リスト戦略を使用して、アカウント管理者は、特定のサービスや一連のアクションを拒否する SCP を作成してアタッチするまで、すべてのサービスとアクションを委譲できます。拒否ステートメントでは、AWS が新しいサービスを追加するときに SCP を更新する必要がないため、メンテナンスの必要性が削減されます。通常、拒否ステートメントはより少ないスペースを使用するため、SCP の上限サイズ内に簡単に収まります。Effect 要素に Deny の値があるステートメントでは、特定のリソースへのアクセスを制限したり、SCP 有効時における条件を定義することもできます。

これをサポートするため、AWS Organizations は AWS 管理 SCP をアタッチします。FullAWSAccessは、すべてのルートと OU にアタッチします。このポリシーはすべてのサービスとアクションを許可します。これはいつでもアタッチしたり、必要に応じて組織のエンティティからデタッチしたりできます。ポリシーは AWS マネージド SCP であるため、変更または削除することはできません。このポリシーは以下のようになります。 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

このポリシーにより、アカウント管理者は、何らかのアクセスを拒否する SCP を作成してアタッチするまで、任意のサービスまたはオペレーションにアクセス許可を委譲できます。特定のアカウントのユーザーやロールに実行させないアクションを明示的に禁止する SCP をアタッチできます。

このようなポリシーは、以下の例のようになります。この例では、影響を受けるアカウントのユーザーが Amazon DynamoDB サービスのいかなるアクションも実行しないようにします。組織の管理者は、FullAWSAccess ポリシーをデタッチして、これを代わりにアタッチできます。この SCP は、引き続きすべての他のサービスとそのアクションを許可します。 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowsAllActions",
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        },
        {
            "Sid": "DenyDynamoDB", 
            "Effect": "Deny",
            "Action": "dynamodb:*",
            "Resource": "*"
        }
    ]
}

影響を受けるアカウントのユーザーは DynamoDB アクションを実行できません。これは、明示的なDeny要素は、明示的なAllow最初の. また、FullAWSAccess ポリシーを残して、以下のように、Deny ステートメントのみがある 2 番目のポリシーをアタッチして設定することもできます。 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "dynamodb:*",
            "Resource": "*"
        }
    ]
}

の組み合わせは、FullAWSAccessポリシーとDenyステートメントは、ルートまたは OU に適用される前述の DynamoDB ポリシーにある 1 つのポリシーと同じ効果があります。特定のレベルに適用されるすべてのポリシーはまとめられます。各ステートメントはどのポリシーから派生したものにかかわらず、先に述べたルールに基づいて評価されます (つまり、明示的 Deny明示的 Allow に優先し、これはデフォルトの暗示的 Deny に優先します)。

SCP を許可リストと使用する

許可リストとして SCP を使用するには、AWS 管理のFullAWSAccessSCP を持つ SCP。許可したいサービスやアクションのみを明示的に許可する SCP。デフォルトの FullAWSAccess SCP を削除することで、すべてのサービスのすべてのアクションが暗黙的に拒否されるようになります。そうするとカスタム SCP は、許可したいアクションのみについて、暗示的 Deny を明示的 Allow で上書きします。指定されたアカウントに対してアクセス許可を有効にするには、ルートからアカウントへの直接パス内の各 OU のすべての SCPが (アカウント自体にアタッチされていても)、そのアクセス許可を許可する必要があります。

Notes

  • あんAllowステートメントは、Resource以外のものを持つ要素を"*"

  • あんAllowステートメントは、Condition要素がまったく同じです。

許可リストポリシーは、以下の例のようになります。これにより、アカウントユーザーは Amazon Elastic Compute Cloud (Amazon EC2) および Amazon CloudWatch の操作を実行できるようになりますが、他のサービスは実行できません。親 OU とルート内のすべての SCP も、明示的にこれらのアクセス権限を許可する必要があります。 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:*",
                "cloudwatch:*"
            ],
            "Resource": "*"
        }
    ]
}