AWS Organizations および のサービスコントロールポリシーの例 AWS RAM - AWS Resource Access Manager
前提条件サービスコントロールポリシーの例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Organizations および のサービスコントロールポリシーの例 AWS RAM

AWS RAM は、サービスコントロールポリシー () をサポートしていますSCPs。SCPs は、組織内のアクセス許可を管理するために組織内の要素にアタッチするポリシーです。は、 AWS アカウント をアタッチする 要素のすべての SCPSCPに適用されます。SCPs は、組織内のすべてのアカウントで利用可能なアクセス許可の最大数を一元的に制御します。これらは、組織のアクセスコントロールガイドラインの範囲内に AWS アカウント 留まるのに役立ちます。詳細については、AWS Organizations ユーザーガイドの「サービスコントロールポリシー」を参照してください。

前提条件

を使用するにはSCPs、まず以下を実行する必要があります。

  • 組織内のすべての機能の有効化。詳細については、AWS Organizations ユーザーガイドの「組織内のすべての機能の有効化」を参照してください。

  • 組織内で SCPsの使用を有効にします。詳細については、AWS Organizations ユーザーガイドの「ポリシータイプの有効化と無効化」を参照してください。

  • SCPs 必要な を作成します。の作成の詳細についてはSCPs、 AWS Organizations ユーザーガイド「 の作成と更新SCPs」を参照してください。

サービスコントロールポリシーの例

以下の例では、組織内のリソース共有のさまざまな側面を制御する方法を説明します。

例 1: 外部共有を禁止する

以下SCPでは、共有ユーザーの組織外のプリンシパルとの共有を許可するリソース共有をユーザーが作成できないようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}

例 2: 組織外の外部アカウントからのリソース共有への招待をユーザーが受け付けないようにする

以下は、影響を受けるアカウントのプリンシパルがリソース共有を使用するための招待を受け入れるのをSCPブロックします。共有アカウントと同じ組織内の他のアカウントと共有されるリソース共有は招待を生成しないため、この の影響を受けませんSCP。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ram:AcceptResourceShareInvitation",
            "Resource": "*"
        }
    ]
}

例 3: 特定のアカウントに特定のリソースタイプの共有を許可する

以下SCPでは222222222222、アカウント111111111111のみが Amazon EC2プレフィックスリストを共有する新しいリソース共有を作成したり、プレフィックスリストを既存のリソース共有に関連付けることができます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEqualsIfExists": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}

例 4: 組織全体または組織単位との共有を禁止する

以下SCPでは、ユーザーが組織全体または組織単位とリソースを共有するリソース共有を作成できないようにします。ユーザーは、組織 AWS アカウント 内の個人、またはIAMロールやユーザーと共有できます

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}

例 5: 特定のプリンシパルのみとの共有を許可する

次の例では、ユーザーが組織o-12345abcdef,単位 、ou-98765fedcbaおよび AWS アカウント とのみリソースを共有SCPすることを許可しています111111111111

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ram:AssociateResourceShare",
        "ram:CreateResourceShare"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "ram:Principal": [
            "arn:aws:organizations::123456789012:organization/o-12345abcdef",
            "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
            "111111111111"
          ]
        },
        "Null": {
          "ram:Principal": "false"
        }
      }
    }
  ]
}