を使用した組織ポリシーの作成 AWS Organizations - AWS Organizations
バックアップポリシーを作成するタグポリシーを作成するAI サービスのオプトアウトポリシーを作成するサービスコントロールポリシーを作成する (SCP)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用した組織ポリシーの作成 AWS Organizations

組織のポリシーを有効にしたら、ポリシーを作成できます。

このトピックでは、 でポリシーを作成する方法について説明します。 AWS Organizations。 ポリシーは、 のグループに適用するコントロールを定義します。 AWS アカウント. AWS Organizations は、管理ポリシーと承認ポリシーをサポートします。

バックアップポリシーを作成する

最小アクセス許可

バックアップポリシーを作成するには、次のアクションを実行するアクセス許可が必要です。

  • organizations:CreatePolicy

AWS Management Console

バックアップポリシーは、 で作成できます。 AWS Management Console 次の 2 つの方法のいずれかで行います。

  • オプションを選択し、JSONポリシーテキストを生成できるビジュアルエディタ。

  • JSON ポリシーテキストを自分で直接作成できるテキストエディタ。

ビジュアルエディタを使用すると、プロセスが簡単になりますが、柔軟性は制限されます。これは、最初のポリシーを作成し、使用に慣れるのに最適な方法です。それらがどのように機能するかを理解し、ビジュアルエディタが提供する内容によって制限され始めたら、ポリシーテキストを自分で編集することで、高度な機能をJSONポリシーに追加できます。ビジュアルエディタは、@@assign 値設定演算子のみを使用し、子制御演算子へのアクセスは提供しません。JSON ポリシーテキストを手動で編集する場合にのみ、子コントロール演算子を追加できます。

バックアップポリシーを作成するには

  1. にサインインします。AWS Organizations コンソール 。ユーザーとしてサインインするかIAM、 IAMロールを引き受けるか、組織の管理アカウントのルートユーザーとしてサインインする必要があります ( は推奨されません)。

  2. バックアップポリシーページで、[Create policy] (ポリシーの作成) を選択します。

  3. [Create policy] (ポリシーの作成) ページで、ポリシー名と、オプションでポリシーの説明を入力します。

  4. (オプション) [Add tag] (タグの追加) を選択してキーとオプションの値を入力することで、ポリシーに 1 つ以上のタグを追加できます。値を空白のままにすると、空の文字列が設定され、null にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。タグ付けの詳細については、「タグ付け AWS Organizations リソース」を参照してください。

  5. この手順で説明するように、[ビジュアルエディタ] を使用してポリシーを構築できます。JSON タブにポリシーテキストを入力または貼り付けることもできます。バックアップポリシーの構文については、バックアップポリシーの構文と例 を参照してください。

    [ビジュアルエディタ] を使用する場合は、シナリオに適したバックアップオプションを選択します。バックアッププランは 3 つの部分で構成されます。これらのバックアッププランの要素の詳細については、「」の「バックアッププランの作成」および「リソースの割り当て」を参照してください。 AWS Backup デベロッパーガイド

    1. バックアッププランの全般的な説明

      • [バックアッププラン名] には、英数字、ハイフン、下線のみを使用できます。

      • リストから少なくとも 1 つの [バックアッププランリージョン] を選択する必要があります。プランは、選択した でのみリソースをバックアップできます。 AWS リージョン.

    2. 方法とタイミングを指定する 1 つ以上のバックアップルール AWS Backup は運用することです。各バックアップルールは、次の項目を定義します。

      • バックアップの頻度、およびバックアップを実行できるタイムウィンドウを含むスケジュール。

      • 使用するバックアップボールトの名前。[バックアップボールト名] は、英数字、ハイフン、下線のみで構成できます。プランを正常に実行するには、バックアップボールトが存在している必要があります。を使用してボールトを作成する AWS Backup コンソールまたは AWS CLI コマンド。

      • (オプション) バックアップを他の のボールトにもコピーする 1 つ以上のコピー先リージョンルール AWS リージョン.

      • このバックアッププランを実行するたびに作成されるバックアップリカバリポイントに関連付ける 1 つ以上のタグキーと値のペア。

      • バックアップがコールドストレージに移行するタイミングとバックアップの期限を指定するライフサイクルオプション。

      [Add rule] (ルールの追加) を選択し、必要な各ルールをプランに追加します。

      バックアップルールの詳細については、「」の「バックアップルール」を参照してください。 AWS Backup デベロッパーガイド

    3. どのリソースを指定するリソース割り当て AWS Backup はこのプランでバックアップする必要があります。割り当ては、 のタグペアを指定することによって行われます。 AWS Backup は を使用してリソースを検索して照合します

      • [リソースの割り当て名] には、英数字、ハイフン、下線のみを使用できます。

      • IAMロールを指定する AWS Backup を使用して、名前でバックアップを実行します。

        コンソールでは、Amazon リソースネーム () 全体を指定しませんARN。ロール名とロールのタイプを指定するプレフィックスの両方を含める必要があります。通常、プレフィックスは role または service-role で、ロール名とはスラッシュ (「/」) で区切られます。例えば、role/MyRoleName または service-role/MyManagedRoleName と入力します。これは、基盤となる に保存ARNされると、完全な に変換されますJSON。

        重要

        指定されたIAMロールは、ポリシーが適用されるアカウントに既に存在している必要があります。存在しない場合、バックアッププランはバックアップジョブを正常に開始する可能性がありますが、それらのバックアップジョブは失敗します。

      • [Resource tag key] (リソースタグキー) と [Tag values] (タグ値) のペアを 1 つ以上指定し、バックアップするリソースを特定します。複数のタグ値がある場合は、値をカンマで区切ります。

      [Add assignment] (割り当てを追加) を選択し、バックアッププランに設定した各リソース割り当てを追加します。

      詳細については、「」の「バックアッププランにリソースを割り当てる」を参照してください。 AWS Backup デベロッパーガイド

  6. ポリシーの作成が完了したら、[Create policy] (ポリシーの作成) を選択します。使用可能なバックアップポリシーのリストにポリシーが表示されます。

AWS CLI & AWS SDKs
バックアップポリシーを作成するには

次のいずれかを使用して、バックアップポリシーを作成できます。

  • AWS CLI: ポリシーの作成

    次のようなJSONテキストとしてバックアッププランを作成し、テキストファイルに保存します。構文のすべてのルールについては、バックアップポリシーの構文と例 を参照してください。

    {
    "plans": {
        "PII_Backup_Plan": {
            "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
            "rules": {
                "Hourly": {
                    "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
                    "start_backup_window_minutes": { "@@assign": "480" },
                    "complete_backup_window_minutes": { "@@assign": "10080" },
                    "lifecycle": {
                        "move_to_cold_storage_after_days": { "@@assign": "180" },
                        "delete_after_days": { "@@assign": "270" }
                    },
                    "target_backup_vault_name": { "@@assign": "FortKnox" },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
                            "lifecycle": {
                                "move_to_cold_storage_after_days": { "@@assign": "10" },
                                "delete_after_days": { "@@assign": "100" }
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                        "tag_key": { "@@assign": "dataType" },
                        "tag_value": { "@@assign": [ "PII" ] }
                    }
                }
            }
        }
    }
}

    このバックアッププランでは、以下を指定します。 AWS バックアップは、影響を受ける 内のすべてのリソースをバックアップする必要があります AWS アカウント 指定された にある AWS リージョン 値 の タグdataTypeを持つ および PII

    次に、JSONポリシーファイルのバックアッププランをインポートして、組織に新しいバックアップポリシーを作成します。出力のポリシーの最後にあるポリシー ID を書きARN留めます。

    $ aws organizations create-policy \
    --name "MyBackupPolicy" \
    --type BACKUP_POLICY \
    --description "My backup policy" \
    --content file://policy.json{
    "Policy": {
        "PolicySummary": {
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
            "Description": "My backup policy",
            "Name": "MyBackupPolicy",
            "Type": "BACKUP_POLICY"
        }
        "Content": "...a condensed version of the JSON policy document you provided in the file...",
    }
}

  • AWS SDKs: CreatePolicy
次のステップ

バックアップポリシーを作成したら、ポリシーを有効にできます。そのためには、ポリシーを組織ルート、組織単位 (OUs)、 AWS アカウント 組織内、またはこれらすべての組み合わせ。

タグポリシーを作成する

最小アクセス許可

タグポリシーを作成するには、次のアクションを実行するためのアクセス権限が必要です。

  • organizations:CreatePolicy

でタグポリシーを作成できます。 AWS Management Console 次の 2 つの方法のいずれかで行います。

  • オプションを選択し、JSONポリシーテキストを生成できるビジュアルエディタ。

  • JSON ポリシーテキストを自分で直接作成できるテキストエディタ。

ビジュアルエディタを使用すると、プロセスが簡単になりますが、柔軟性は制限されます。これは、最初のポリシーを作成し、使用に慣れるのに最適な方法です。それらがどのように機能するかを理解し、ビジュアルエディタが提供する内容によって制限され始めたら、ポリシーテキストを自分で編集することで、高度な機能をJSONポリシーに追加できます。ビジュアルエディタは、@@assign 値設定演算子のみを使用し、子制御演算子へのアクセスは提供しません。JSON ポリシーテキストを手動で編集する場合にのみ、子コントロール演算子を追加できます。

AWS Management Console

でタグポリシーを作成できます。 AWS Management Console 次の 2 つの方法のいずれかで行います。

  • オプションを選択し、JSONポリシーテキストを生成できるビジュアルエディタ。

  • JSON ポリシーテキストを自分で直接作成できるテキストエディタ。

ビジュアルエディタを使用すると、プロセスが簡単になりますが、柔軟性は制限されます。これは、最初のポリシーを作成し、使用に慣れるのに最適な方法です。それらがどのように機能するかを理解し、ビジュアルエディタが提供する内容によって制限され始めたら、ポリシーテキストを自分で編集することで、高度な機能をJSONポリシーに追加できます。ビジュアルエディタは、@@assign 値設定演算子のみを使用し、子制御演算子へのアクセスは提供しません。JSON ポリシーテキストを手動で編集する場合にのみ、子コントロール演算子を追加できます。

タグポリシーを作成するには

  1. にサインインします。AWS Organizations コンソール 。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザー (推奨されません) としてサインインする必要があります。

  2. タグポリシーページで、[Create policy] (ポリシーの作成) を選択します。

  3. [Create policy] (ポリシーの作成) ページで、ポリシー名と、オプションでポリシーの説明を入力します。

  4. (オプション) ポリシーオブジェクト自体には 1 つ以上のタグを追加できます。これらのタグはポリシーの一部ではありません。これを行うには、[Add tag] (タグの追加) を選択してから、キーとオプションの値を入力します。値を空白のままにすると、空の文字列が設定され、null にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「タグ付け AWS Organizations リソース」を参照してください。

  5. この手順で説明するように、ビジュアルエディタを使用してタグポリシーを構築できます。JSON タブにタグポリシーを入力または貼り付けることもできます。タグポリシーの構文については、タグポリシー構文 を参照してください。

    ビジュアルエディタ を使用する場合は、以下を指定します。

  6. [New tag key 1] (新しいタグキー 1) で、追加するタグキーの名前を指定します。

  7. コンプライアンスオプションでは、次のオプションを選択できます。

    1. タグキーに上記で指定した大文字と小文字を使用します。継承された親タグポリシーが存在する場合、タグキーの大文字と小文字の処理を定義するように指定するには、このオプションをオフ (デフォルト) のままにします。

      このポリシーを使用してタグキーの大文字と小文字を区別する場合は、このオプションを有効にします。このオプションを選択すると、[タグキー] に指定した大文字と小文字は、継承された親ポリシーで指定された大文字と小文字の処理より優先されます。

      親ポリシーが存在せず、このオプションを有効にしない場合、タグキーがすべて小文字のものだけが準拠していると見なされます。親ポリシーからの継承の詳細については、「管理ポリシーの継承を理解する」を参照してください。

      ヒント

      タグキーとその大文字小文字の処理を定義するタグポリシーを作成する際のガイドとして、「例 1: 組織全体のタグキーの大文字小文字取り扱いの定義」に示すタグポリシーの例を使用することを検討してください。組織のルートにアタッチします。後で、追加のタグポリシーを作成して OUsまたは アカウントにアタッチし、追加のタグ付けルールを作成できます。

    2. このタグキーに許可される値を指定する — 親ポリシーから継承された値にこのタグキーに許可される値を追加する場合は、このオプションを有効にします。

      デフォルトでは、このオプションはオフになっています。つまり、親ポリシーで定義され、親ポリシーから継承された値だけが準拠していると見なされます。親ポリシーが存在しない場合、またはタグ値を指定しない場合、すべての値 (値なしの場合を含む) が準拠していると見なされます。

      受け入れ可能なタグ値のリストを更新するには、[Specify allowed values for this tag key] (このタグキーに許可される値を指定する) を選択し、[Specify values] (値を指定) を選択します。プロンプトが表示されたら、新しい値を入力し (ボックスごとに 1 つの値)、[Save changes] (変更の保存) を選択します。

  8. リソースタイプで を適用するには、このタグ の非準拠オペレーションの防止 を選択します。

    タグポリシーの使用経験がない限り、このオプションはオフ (デフォルト) にしておくことをお勧めします。「強制について」の推奨事項を確認し、完全なテストを実施してください。そうしないと、組織のアカウントのユーザーが必要なリソースにタグ付けできなくなる可能性があります。

    このタグキーへの準拠を強制する場合は、チェックボックスをオンにしてから [Specify resource types] (リソースタイプを指定) を選択します。プロンプトが表示されたら、ポリシーに含めるリソースタイプを選択します。次に、変更の保存を選択します。

    重要

    このオプションを選択すると、指定したタイプのリソースのタグを操作するオペレーションは、そのオペレーションの結果としてポリシーに準拠するタグが得られた場合にのみ成功します。

  9. (オプション) このタグポリシーに別のタグキーを追加するには、[Add tag key] を選択します。次に、ステップ 6~9 を実行してタグキーを定義します。

  10. タグポリシーの構築が完了したら、[Save changes] (変更を保存) を選択します。

AWS CLI & AWS SDKs
タグポリシーを作成するには

次のいずれかを使用して、タグポリシーを作成できます。

  • AWS CLI: ポリシーの作成

    タグポリシーの作成には任意のテキストエディタを使用できます。JSON 構文を使用して、任意の名前と拡張子を持つファイルとしてタグポリシーを任意の場所に保存します。タグポリシーには、スペースを含めて最大 2,500 文字を使用できます。タグポリシーの構文については、タグポリシー構文 を参照してください。

    タグポリシーを作成するには

    1. 以下のようなタグポリシーのテキストファイルを作成します。

      testpolicy.json の内容:

      {
    "tags": {
        "CostCenter": {
            "tag_key": {
                "@@assign": "CostCenter"
            }
        }
    }
}

      このタグポリシーは、CostCenter タグキーを定義します。タグは任意の値を受け入れることができますが、値を受け入れなくても構いません。このようなポリシーは、値の有無にかかわらず CostCenter タグがアタッチされたリソースが準拠していることを意味します。

    2. ファイルにあるポリシーの内容を含むポリシーを作成します。出力が読みやすくなるように、余分な余白は切り詰められています。

      $ aws organizations create-policy \
    --name "MyTestTagPolicy" \
    --description "My Test policy" \
    --content file://testpolicy.json \
    --type TAG_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-a1b2c3d4e5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
            "Name": "MyTestTagPolicy",
            "Description": "My Test policy",
            "Type": "TAG_POLICY",
            "AwsManaged": false
        },
        "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
    }
}

  • AWS SDKs: CreatePolicy
次のステップ

タグポリシーを作成したら、タグ付けルールを有効にできます。そのためには、組織ルート、組織単位 (OUs)、 AWS アカウント 組織内の 、または組織エンティティの組み合わせ。

AI サービスのオプトアウトポリシーを作成する

最小アクセス許可

AI サービスのオプトアウトポリシーを作成するには、次のアクションを実行するアクセス許可が必要です。

  • organizations:CreatePolicy

AWS Management Console
AI サービスのオプトアウトポリシーを作成するには

  1. にサインインします。AWS Organizations コンソール 。ユーザーとしてサインインするかIAM、 IAMロールを引き受けるか、組織の管理アカウントのルートユーザーとしてサインインする必要があります ( は推奨されません)。

  2. AI サービスのオプトアウトポリシーページで、[Create policy] (ポリシーの作成) を選択します。

  3. [Create new AI services opt-out policy] (新しい AI サービスのオプトアウトポリシーの作成) ページで、ポリシー名ポリシーの説明を入力します。

  4. (オプション) [Add tag] (タグの追加) を選択してキーとオプションの値を入力することで、ポリシーに 1 つ以上のタグを追加できます。値を空白のままにすると、空の文字列が設定され、null にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「タグ付け AWS Organizations リソース」を参照してください。

  5. JSON タブにポリシーテキストを入力または貼り付けます。AI サービスのオプトアウトポリシーの構文について詳しくは、AI サービスのオプトアウトポリシーの構文と例 を参照してください。開始点として使用できるサンプルポリシーについては、AI サービスのオプトアウトポリシーの例 を参照してください。

  6. ポリシーの編集が完了したら、ページの右下隅の [Create policy] (ポリシーの作成) を選択します。

AWS CLI & AWS SDKs
AI サービスのオプトアウトポリシーを作成するには

次のいずれかを使用して、タグポリシーを作成できます。

  • AWS CLI: ポリシーの作成

    1. 次のような AI サービスのオプトアウトポリシーを作成し、テキストファイルとして保存します。「optOut」と「optIn」では大文字と小文字が区別されます。

      {
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

      この AI サービスのオプトアウトポリシーは、ポリシーの影響を受けるすべてのアカウントが、Amazon Rekognition を除くすべての AI サービスからオプトアウトされるように指定します。

    2. JSON ポリシーファイルをインポートして、組織内に新しいポリシーを作成します。この例では、前のJSONファイルの名前は でしたpolicy.json

      $ aws organizations create-policy \
    --type AISERVICES_OPT_OUT_POLICY \
    --name "MyTestPolicy" \
    --description "My test policy" \
    --content file://policy.json
{
    "Policy": {
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5"
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Description": "My test policy",
            "Name": "MyTestPolicy",
            "Type": "AISERVICES_OPT_OUT_POLICY"
        }
    }
}

  • AWS SDKs: CreatePolicy
次のステップ

AI サービスのオプトアウトポリシーを作成したら、オプトアウト設定を有効にすることができます。そのためには、組織ルート、組織単位 (OUs)、 AWS アカウント 組織内、またはこれらすべての組み合わせ。

サービスコントロールポリシーを作成する (SCP)

最小アクセス許可

を作成するにはSCPs、次のアクションを実行するアクセス許可が必要です。

  • organizations:CreatePolicy

AWS Management Console
サービスコントロールポリシーを作成するには

  1. にサインインします。AWS Organizations コンソール 。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザーとしてサインインする必要があります (推奨されません)。

  2. サービスコントロールポリシーページで、[Create policy] (ポリシーの作成) を選択します。

  3. [Create new service control policy] (新しいサービスコントロールポリシーの作成) ページで、[Policy name] (ポリシー名) とオプションの [Policy description] (ポリシーの説明) に入力します。

  4. (オプション) [Add tag] (タグの追加) を選択してキーとオプションの値を入力し、1 つ以上のタグを追加します。値を空白のままにすると、空の文字列が設定され、null にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「タグ付け AWS Organizations リソース」を参照してください。

    注記

    以下のほとんどのステップでは、JSONエディタの右側にあるコントロールを使用して、 要素ごとにポリシーを構築する方法について説明します。または、ウィンドウの左側にあるJSONエディタにいつでもテキストを入力できます。直接入力することも、コピーアンドペーストを使用することもできます。

  5. ポリシーを構築するための次のステップは、アクセスを拒否または許可するステートメントを追加するかどうかに応じて異なります。詳細については、「SCP 評価」を参照してください。Deny ステートメントを使用する場合、特定のリソースへのアクセスを制限し、いつ有効SCPsになるかの条件を定義し、 NotAction要素を使用できるため、追加の制御が可能です。構文の詳細については、「SCP 構文」を参照してください。

    アクセスを拒否するステートメントを追加するには

    1. エディタの右側の「ステートメントの編集」ペインの「アクションの追加」で、「」を選択します。 AWS サービス。

      右側のオプションを選択すると、JSONエディタが更新され、対応するJSONポリシーが左側に表示されます。

    2. サービスを選択すると、そのサービスで使用可能なアクションが記載されたリストが開きます。[All actions] (すべてのアクション) または、拒否する 1 つ以上の個別のアクションを選択します。

      JSON 左側の は、選択したアクションを含むように更新されます。

      注記

      個々のアクションを選択し、戻ってすべてのアクション も選択すると、 の想定エントリservicename/*が に追加されますがJSON、以前に選択した個々のアクションは に残りJSON、削除されません。

    3. 追加のサービスからアクションを追加したい場合は、[Statement] (ステートメント) ボックスの上部にある [All services] (すべてのサービス) を選択し、必要に応じて前の 2 つのステップを繰り返します。

    4. ステートメントに含めるリソースを指定します。

      • [リソースの追加] の横にある [追加] を選択します。

      • [Add a resource] (リソースの追加) ダイアログで、リソースを制御するサービスをリストから選択します。前のステップで選択したサービスからのみ選択できます。

      • [Resource type] (リソースタイプ) で、制御するリソースのタイプを選択します。

      • 最後に、Resource の Amazon リソースネーム (ARN) ARNを完了して、アクセスを制御する特定のリソースを特定します。中括弧 {} で囲まれたすべてのプレースホルダーを置き換える必要があります。そのリソースタイプのARN構文で許可されているワイルドカード (*) を指定できます。ワイルドカードを使用できる場所については、特定のリソースタイプに関するドキュメントを参照してください。

      • [Add a resource] (リソースの追加) を選択して、ポリシーへの追加を保存します。の Resource要素は、追加または変更JSONを反映します。[Resource] (リソース) 要素が必要です。

      ヒント

      選択したサービスのすべてのリソースを指定する場合は、リストですべてのリソースオプションを選択するか、 でResourceステートメントを直接編集JSONして を読み込みます"Resource":"*"

    5. (オプション) ポリシーステートメントが有効なときに制限する条件を指定するには、[条件を追加] の横にある [追加] を選択します。

      • 条件キー – リストから、すべての で使用できる条件キーを選択できます。 AWS サービス (例: aws:SourceIp)、またはこのステートメントで選択したサービスの 1 つのみのサービス固有のキー。

      • 限定条件 - (オプション) 条件に複数の値を入力する場合 (指定した条件キーに応じて)、値に対するリクエストをテストする限定条件を指定できます。

        • デフォルト値 — ポリシーの条件キーバリューに対する、リクエスト内の単一の値をテストします。リクエスト値がポリシーの値と一致する場合、条件は true を返します。ポリシーで複数の値を指定した場合、それらは「or」のテストとして扱われ、リクエスト値がポリシーの値のいずれかに一致すると、条件は true を返します。

        • リクエスト内の任意の値 — リクエストに複数の値を含めることができる場合、このオプションでは、リクエスト値の少なくとも 1 つが、ポリシーの少なくとも 1 つの条件キーバリューと一致するかどうかをテストします。リクエスト内のキーバリューのいずれかがポリシーの条件値のいずれかと一致する場合に true が返されます。一致するキーまたは空のデータセットがない場合、条件は false を返します。

        • リクエスト内のすべての値 - リクエストに複数の値を含めることができる場合、このオプションは、すべてのリクエスト値がポリシーの条件キーバリューと一致するかどうかをテストします。リクエストのすべてのキーバリューがポリシーの 1 つ以上の値と一致する場合、条件は true を返します。また、リクエストにキーがない場合、またはキーバリューが空の文字列などの null データセットに解決される場合は true を返します。

      • 演算子演算子は、比較するタイプを指定します。表示されるオプションは、条件キーのデータ型によって異なります。例えば、aws:CurrentTime グローバル条件キーを使用すると、任意の日付比較演算子または Null から選択でき、それを使用してリクエスト内に値が存在するかどうかをテストできます。

        Null テスト以外の条件演算子については、 IfExistsオプションを選択できます。

      • — (オプション) リクエストをテストする 1 つ以上の値を指定します。

      [条件を追加] を選択します。

      条件キーの詳細については、「 ユーザーガイド」のIAMJSON「ポリシー要素: 条件IAM」を参照してください。

    6. (オプション) NotAction 要素を使用して、指定したアクションを除くすべてのアクションへのアクセスを拒否するには、左側のペインにある ActionNotAction 要素の直後に表示される "Effect": "Deny", で置き換えます。詳細については、「 ユーザーガイド」のIAMJSON「ポリシー要素: NotActionIAM」を参照してください。

  6. アクセスを許可するステートメントを追加するには

    1. 左側のJSONエディタで、行を "Effect": "Deny" に変更します"Effect": "Allow"

      右側のオプションを選択すると、JSONエディタが更新され、対応するJSONポリシーが左側に表示されます。

    2. サービスを選択すると、そのサービスで使用可能なアクションが記載されたリストが開きます。[All actions] (すべてのアクション) または、許可する 1 つ以上のアクションを個別に選択できます。

      JSON 左側の は、選択したアクションを含むように更新されます。

      注記

      個々のアクションを選択し、戻ってすべてのアクション も選択すると、 の想定エントリservicename/*が に追加されますがJSON、以前に選択した個々のアクションは に残りJSON、削除されません。

    3. 追加のサービスからアクションを追加したい場合は、[Statement] (ステートメント) ボックスの上部にある [All services] (すべてのサービス) を選択し、必要に応じて前の 2 つのステップを繰り返します。

  7. (オプション) ポリシーに別のステートメントを追加するには、[Add statement] (ステートメントを追加) を選択し、ビジュアルエディタを使用して次のステートメントを構築します。

  8. ステートメントの追加が完了したら、ポリシーの作成を選択して、完了した を保存しますSCP。

新しい が組織のポリシーのリストSCPに表示されます。SCP をルート、、OUsまたは アカウントにアタッチできるようになりました。

AWS CLI & AWS SDKs
サービスコントロールポリシーを作成するには

次のいずれかのコマンドを使用して、 を作成できますSCP。

  • AWS CLI: ポリシーの作成

    次の例では、JSONポリシーテキストDeny-IAM.jsonを含む という名前のファイルがあることを前提としています。このファイルを使用して、新しいサービスコントロールポリシーを作成します。

    $ aws organizations create-policy \
    --content file://Deny-IAM.json \
    --description "Deny all IAM actions" \
    --name DenyIAMSCP \
    --type SERVICE_CONTROL_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
            "Name": "DenyIAMSCP",
            "Description": "Deny all IAM actions",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": false
        },
         "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
    }
}

  • AWS SDKs: CreatePolicy
注記

SCPs 管理アカウントやその他の状況では有効になりません。詳細については、「によって制限されていないタスクとエンティティ SCPs」を参照してください。