AWS Organizations で使用可能な AWS 管理ポリシー - AWS Organizations
AWS 管理の IAM 管理ポリシーAWS 管理サービスコントロールポリシー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Organizations で使用可能な AWS 管理ポリシー

このセクションでは、組織を管理するために提供される AWS 管理ポリシーを特定します。AWS 管理ポリシーを変更または削除することはできませんが、必要に応じて組織内のエンティティにアタッチまたはデタッチすることができます。

AWS Identity and Access Management (IAM) で使用するための AWS Organizations 管理ポリシー

IAM管理ポリシーは、AWS によって提供され、維持されます。管理ポリシーは、管理ポリシーを適切な IAM ユーザーまたはロールオブジェクトにアタッチすることでユーザーに割り当てることができる、一般的なタスクに対するアクセス許可を提供します。ポリシーを自分で記述する必要はなく、AWS が新しいサービスを適切にサポートするためにポリシーを更新するとすぐに、更新のメリットを自動的に得ることができます。AWS 管理ポリシーのリストは、IAM コンソールの [Policies] (ポリシー) ページで確認できます。[Filter policies] (フィルターポリシー) のドロップダウンを使用して、[AWS managed] ( マネージド) を選択します。

以下の管理ポリシーを使用して、組織のユーザーにアクセス許可を付与できます

ポリシー名 説明 ARN
AWSOrganizationsFullAccess 組織を作成し、完全に管理するために必要なすべてのアクセス許可を提供します。次のスニペットは、このポリシーステートメントの内容を示しています。
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSOrganizationsFullAccess",
            "Effect": "Allow",
            "Action": "organizations:*",
            "Resource": "*"
        },
        {
            "Sid": "AWSOrganizationsFullAccessAccount",
            "Effect": "Allow",
            "Action": [
                "account:PutAlternateContact",
                "account:DeleteAlternateContact",
                "account:GetAlternateContact",
                "account:GetContactInformation",
                "account:PutContactInformation",
                "account:ListRegions",
                "account:EnableRegion",
                "account:DisableRegion"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AWSOrganizationsFullAccessCreateSLR",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "organizations.amazonaws.com"
                }
            }
        }
    ]
}
 arn:aws:iam::aws:policy/AWSOrganizationsFullAccess
AWSOrganizationsReadOnlyAccess 組織に関する情報への読み取り専用アクセスを提供します。ユーザーがこれに変更を加えることはできません。次のスニペットは、このポリシーステートメントの内容を示しています。
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid": "AWSOrganizationsReadOnly",
         "Effect":"Allow",
         "Action":[
            "organizations:Describe*",
            "organizations:List*"
         ],
         "Resource": "*"
      },
      {
         "Sid": "AWSOrganizationsReadOnlyAccount",
         "Effect":"Allow",
         "Action":[
            "account:GetAlternateContact",
            "account:GetContactInformation",
            "account:ListRegions"
         ],
         "Resource": "*"
      }
   ]
}
 arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess

Organizations の AWS 管理ポリシーの更新

次の表は、AWS 管理ポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について示しています。このページの変更に関する自動通知については、AWS Organizations ドキュメントの履歴ページの RSS フィードをサブスクライブしてください。

変更 説明 日付

AWSOrganizationsFullAccess – ポリシーステートメントを記述するSid要素を含むように更新されました。

Organizations は、 AWSOrganizationsFullAccessマネージドポリシーのSid要素を追加しました。

2024 年 2 月 6 日

AWSOrganizationsReadOnlyAccess – ポリシーステートメントを記述するSid要素を含むように更新されました。

Organizations は、 AWSOrganizationsReadOnlyAccessマネージドポリシーのSid要素を追加しました。

2024 年 2 月 6 日

AWSOrganizationsFullAccess – Organizations コンソールAWS リージョンを介して を有効または無効にするために必要なアカウント API アクセス許可を許可するように更新されました。

Organizations では、ポリシーに account:ListRegionsaccount:EnableRegion、および account:DisableRegion アクションを追加して、アカウントのリージョンを有効または無効にするための書き込みアクセスを有効にしました。

2022 年 12 月 22 日

AWSOrganizationsReadOnlyAccess – が更新され、Organizations コンソールAWS リージョンを介して を一覧表示するために必要なアカウント API アクセス許可が付与されました。

Organizations では、ポリシーに account:ListRegions アクションを追加して、アカウントのリージョンを表示するためのアクセスを有効にしました。

2022 年 12 月 22 日

AWSOrganizationsFullAccess – Organizations コンソールを使用してアカウントの連絡先を追加または編集するために必要なアカウント API アクセス許可をアカウントに付与できるように更新されました。

Organizations では、ポリシーに account:GetContactInformation および account:PutContactInformation アクションを追加して、アカウントの連絡先を変更するための書き込みアクセスを有効にしました。

2022 年 10 月 21 日

AWSOrganizationsReadOnlyAccess – が更新され、Organizations コンソールを介してアカウントの連絡先を表示するために必要なアカウント API アクセス許可が付与されました。

Organizations では、ポリシーに account:GetContactInformation アクションを追加して、アカウントの連絡先を表示するためのアクセスを有効にしました。

2022 年 10 月 21 日

AWSOrganizationsFullAccess – 組織を作成できるように更新されました。

Organizations では、組織の作成に必要なサービスリンクロールの作成できるようにするために、ポリシーに CreateServiceLinkedRole アクセス許可を追加しました。アクセス許可は、organizations.amazonaws.com のサービスのみで使用できるロールの作成に制限されています。

2022 年 8 月 24 日

AWSOrganizationsFullAccess – Organizations コンソールを介してアカウントの代替連絡先を追加、編集、または削除するために必要なアカウント API アクセス許可を付与するように更新されました。

Organizations では、アカウントの代替連絡先を変更するための書き込みアクセスを有効にする account:GetAlternateContactaccount:DeleteAlternateContact、および account:PutAlternateContact アクションがポリシーに追加されました。

2022 年 2 月 7 日

AWSOrganizationsReadOnlyAccess – Organizations コンソールでアカウントの代替連絡先を表示するために必要なアカウント API アクセス許可をアカウントに付与できるように更新されました。

Organizations では、アカウントの代替連絡先を表示するためのアクセスを有効にする account:GetAlternateContact アクションがポリシーに追加されました。

2022 年 2 月 7 日

AWS Organizations 管理サービスコントロールポリシー

サービスコントロールポリシー (SCP) は、IAM アクセス許可ポリシーと似ていますが、IAM ではなく AWS Organizations の機能です。SCP を使用して、有効化されるエンティティの最大アクセス権限を指定します。SCP は、組織内のルート、組織単位 (OU)、またはアカウントにアタッチできます。自分で作成することも、IAM で定義したポリシーを使用することもできます。Organizations コンソール の [Policies] (ポリシー) ページに、組織内のポリシーのリストが表示されます。

重要

すべての root、OU、アカウントには常に少なくとも 1 つの SCP がアタッチされていなければなりません。

ポリシー名 説明 ARN
フルAWSAccess メンバーアカウントに AWS Organizations 管理アカウントへのアクセスを提供します。 arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess