翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Organizations でアイデンティティベースのポリシー (IAM ポリシー) を使用する
組織の管理アカウントの管理者として、組織内の AWS (IAM) アイデンティティ (ユーザー、グループ、ロール) にアクセス許可ポリシーをアタッチすることで、AWS Identity and Access Management リソースへのユーザーのアクセスをコントロールすることができます。アクセス許可を付与する場合、アクセス許可を取得するユーザー、取得するアクセス許可の対象となるリソース、およびそれらのリソースに対して許可される特定のアクションを決定します。ロールにアクセス権限が付与されている場合は、組織内の他のアカウントのユーザーがそのロールを引き受けることができます。
デフォルトでは、ユーザーには何もアクセス権限が与えられていません。すべてのアクセス権限は、ポリシーで明示的に付与されている必要があります。アクセス許可が明示的に付与されていない場合は、暗黙的に拒否されます。アクセス許可が明示的に拒否されている場合、許可されている可能性があるその他のポリシーより優先されます。つまり、ユーザーは明示的に付与されていて、明示的に拒否されていないアクセス許可だけを持つことになります。
このトピックで説明する基本的な方法に加えて、組織内のリソースに適用されるタグ (組織ルート、組織単位 (OU)、アカウント、およびポリシー) を使用して、組織へのアクセスをコントロールできます。詳細については、「タグおよび AWS Organizations による属性ベースのアクセスコントロール」を参照してください。
完全な管理者権限をユーザーに付与する
組織の IAM ユーザーに、完全な AWS Organizations 管理者権限を付与する IAM ポリシーを作成できます。これを行うには、IAM コンソールの JSON ポリシーエディタを使用します。
JSON ポリシーエディタでポリシーを作成するには
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
左側のナビゲーションペインで、[ポリシー] を選択します。
初めて [ポリシー] を選択する場合には、[管理ポリシーにようこそ] ページが表示されます。[今すぐ始める] を選択します。
-
ページの上部で、[ポリシーを作成] を選択します。
-
[ポリシーエディタ] セクションで、[JSON] オプションを選択します。
-
次の JSON ポリシードキュメントを入力します。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "organizations:*", "Resource": "*" } } -
[次へ] をクリックします。
注記
いつでも [Visual] と [JSON] エディタオプションを切り替えることができます。ただし、[Visual] エディタで [次] に変更または選択した場合、IAM はポリシーを再構成して visual エディタに合わせて最適化することがあります。詳細については、『IAM ユーザーガイド』の「ポリシーの再構成」を参照してください。
-
[確認と作成] ページで、作成するポリシーの [ポリシー名] と [説明] (オプション) を入力します。[このポリシーで定義されているアクセス許可] を確認して、ポリシーによって付与されたアクセス許可を確認します。
-
[ポリシーの作成] をクリックして、新しいポリシーを保存します。
IAM ポリシーの作成の詳細については、「IAM ユーザーガイド」の「IAM ポリシーの作成」を参照してください。
制限付きのアクセス許可をアクションごとに付与する
完全なアクセス許可ではなく制限されたアクセス許可を付与する場合は、IAM アクセス許可ポリシーの Action 要素で許可する個々のアクセス許可をリストするポリシーを作成できます。次の例に示すように、ワイルドカード (*) 文字を使用して Describe* および List* のアクセス権限のみを付与することができます。この方法では通常、読み取り専用アクセスが組織に付与されます。
注記
サービスコントロールポリシー (SCP) では、Action 要素のワイルドカード (*) 文字は、ポリシー自体、または文字列の末尾にのみ使用できます。文字列の先頭または中間には表示されません。そのため、"servicename:action*" は有効ですが、"servicename:*action" と "servicename:some*action" はいずれも、SCP で無効です。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "organizations:Describe*", "organizations:List*" ], "Resource": "*" } }
IAM ポリシーで割り当てることができるすべてのアクセス許可のリストについては、「サービス認証リファレンス」のAWS「 Organizations で定義されるアクション」を参照してください。
特定のリソースへのアクセス許可の付与
特定のアクションへのアクセスの制限に加えて、組織内の特定のエンティティへのアクセスを制限できます。前のセクションの例の Resource 要素は、両方ワイルドカード文字 (*) を指定します。つまり、「アクションがアクセスできる任意のリソース」を意味します。代わりに、「*」をアクセスを許可する特定のエンティティの Amazon リソースネーム (ARN) で置き換えることができます。
例: 単一の OU にアクセス許可を付与する
次のポリシーの最初のステートメントは、IAM ユーザーに組織全体への読み取りアクセスを許可していますが、2 番目のステートメントでは、ユーザーは指定された単一の組織単位 (OU) 内でのみ AWS Organizations 管理アクションの実行が許可されます。これは、子 OU には適用されません。請求へのアクセスは付与されません。ただし、OU 内の AWS アカウント への管理アクセスはできません。指定された OU 内のアカウントで AWS Organizations オペレーションを実行するためのアクセス許可のみが付与されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:Describe*", "organizations:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "organizations:*", "Resource": "arn:aws:organizations::<masterAccountId>:ou/o-<organizationId>/ou-<organizationalUnitId>" } ] }
OU と組織の ID は AWS Organizations コンソールから取得するか、または List* API を呼び出して取得します。このポリシーを適用されたユーザーまたはグループは、OU に直接含まれるエンティティに対して任意のアクション ("organizations:*") を実行できます。OU は Amazon リソースネーム (ARN) によって識別されます。
さまざまなリソースの ARNs「サービス認証リファレンス」の「 で定義されるリソースタイプAWS Organizations」を参照してください。
制限付きサービスプリンシパルに信頼されたアクセスを有効にするための権限を付与する
ポリシーステートメントの Condition 要素を使用して、ポリシーステートメントの一致をさらに制限することができます。
例: 特定した 1 つのサービスに信頼されたアクセスを有効にするための権限を付与する
次のステートメントは、特定したサービスのみに信頼されたアクセスを有効にするための制限方法を示しています。AWS IAM Identity Center のものではなく、別のサービスプリンシパルをユーザーが使用して API を呼び出す場合、このポリシーは一致せずリクエストが拒否されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "organizations:EnableAWSServiceAccess", "Resource": "*", "Condition": { "StringEquals" : { "organizations:ServicePrincipal" : "sso.amazonaws.com" } } } ] }
さまざまなリソースの ARNs「サービス認証リファレンス」の「 で定義されるリソースタイプAWS Organizations」を参照してください。
