AWS Organizations のアクション、リソース、および条件キー - サービス認証リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Organizations のアクション、リソース、および条件キー

AWS Organizations (サービスプレフィックス: organizations) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS Organizations で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AcceptHandshake ハンドシェイクリクエストによって提案されたアクションに同意したハンドシェイクの発行者に応答を送信する許可を付与 書き込み

handshake*

iam:CreateServiceLinkedRole

AttachPolicy ルート、組織単位、または個々のアカウントにポリシーをアタッチする許可を付与 書き込み

policy*

account

organizationalunit

root

organizations:PolicyType

CancelHandshake ハンドシェイクをキャンセルする許可を付与 書き込み

handshake*

CloseAccount 組織内に作成されたか、または組織に参加するように招待されて、Organization の一部になっている AWS アカウント を閉鎖する許可を付与 書き込み

account*

CreateAccount リクエストを行った認証情報を持つ組織のメンバーに自動的になる AWS アカウント を作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateGovCloudAccount AWS GovCloud (米国) アカウントを作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOrganization 組織を作成する許可を付与 CreateOrganization オペレーションを呼び出す認証情報を持つアカウントは、自動的に新しい組織の管理アカウントになります 書き込み

iam:CreateServiceLinkedRole

CreateOrganizationalUnit ルートまたは親 OU 内に組織単位 (OU) を作成する許可を付与 書き込み

organizationalunit

root

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePolicy ルート、組織単位 (OU)、または個々の AWS アカウント にアタッチできるポリシーを作成する許可を付与 書き込み

organizations:PolicyType

aws:RequestTag/${TagKey}

aws:TagKeys

DeclineHandshake ハンドシェイクリクエストを拒否する許可を付与 これにより、ハンドシェイクの状態が DECLINED に設定され、効果的にリクエストが非アクティブ化されます 書き込み

handshake*

DeleteOrganization 組織を削除する許可を付与 書き込み
DeleteOrganizationalUnit ルートまたは別の OU から組織単位を削除する許可を付与 書き込み

organizationalunit*

DeletePolicy 組織からポリシーを削除する許可を付与 書き込み

policy*

organizations:PolicyType

DeleteResourcePolicy 組織からリソースポリシーを削除するための許可を付与します 書き込み
DeregisterDelegatedAdministrator ServicePrincipal で指定された AWS のサービスの委任管理者として、指定されたメンバー AWS アカウント を登録解除する許可を付与 書き込み

account*

organizations:ServicePrincipal

DescribeAccount 指定したアカウントに関する Organizations 関連の詳細を取得する許可を付与 読み込み

account*

DescribeCreateAccountStatus アカウントを作成するための非同期リクエストの現在のステータスを取得する許可を付与 読み込み
DescribeEffectivePolicy アカウントの有効なポリシーを取得する許可を付与 読み込み

account*

organizations:PolicyType

DescribeHandshake 以前にリクエストされたハンドシェイクに関する詳細を取得する許可を付与 読み込み

handshake*

DescribeOrganization 呼び出し元の認証情報が属する組織に関する詳細を取得する許可を付与 読み込み
DescribeOrganizationalUnit 組織単位 (OU) の詳細を取得する許可を付与 読み込み

organizationalunit*

DescribePolicy ポリシーに関する詳細を取得する許可を付与 読み取り

policy*

organizations:PolicyType

DescribeResourcePolicy リソースポリシーに関する情報を取得するための許可を付与します 読み取り
DetachPolicy ターゲットのルート、組織単位、または個々のアカウントからポリシーをデタッチする許可を付与 書き込み

policy*

account

organizationalunit

root

organizations:PolicyType

DisableAWSServiceAccess AWS サービス (ServicePrincipal で指定されたサービス) と AWS Organizations との統合を無効にする許可を付与 書き込み

organizations:ServicePrincipal

DisablePolicyType ルートの組織ポリシータイプを無効にする許可を付与 書き込み

root*

organizations:PolicyType

EnableAWSServiceAccess AWS サービス (ServicePrincipal で指定されたサービス) と AWS Organizations との統合を有効にする許可を付与 書き込み

organizations:ServicePrincipal

EnableAllFeatures 一括請求機能のみをサポートする設定からアップグレードするために、組織内のすべての機能を有効にするプロセスを開始する許可を付与 書き込み
EnablePolicyType ルートのポリシータイプを有効にする許可を付与 書き込み

root*

organizations:PolicyType

InviteAccountToOrganization 組織にメンバーアカウントとして参加するように求めるために、招待を別の AWS アカウント に送信する許可を付与 書き込み

account

aws:RequestTag/${TagKey}

aws:TagKeys

LeaveOrganization 親組織からメンバーアカウントを削除する許可を付与 書き込み
ListAWSServiceAccessForOrganization 組織との統合を有効にした AWS サービスのリストを取得する許可を付与 リスト
ListAccounts 組織内のすべてのアカウントを一覧表示する許可を付与 リスト
ListAccountsForParent ルートまたは組織単位 (OU) に含まれる組織内のアカウントを一覧表示する許可を付与 リスト

organizationalunit

root

ListChildren 親 OU またはルートに含まれるすべての OU またはアカウントを一覧表示する許可を付与 リスト

organizationalunit

root

ListCreateAccountStatus 現在組織で追跡中の非同期アカウント作成リクエストを一覧表示する許可を付与 リスト
ListDelegatedAdministrators この組織の委任管理者として指定されている AWS アカウントを一覧表示する許可を付与 リスト

organizations:ServicePrincipal

ListDelegatedServicesForAccount 指定したアカウントがこの組織の委任管理者になっている AWS のサービスを一覧表示する許可を付与 リスト

account*

ListHandshakesForAccount アカウントに関連付けられているすべてのハンドシェイクを一覧表示する許可を付与 リスト
ListHandshakesForOrganization 組織に関連付けられているハンドシェイクを一覧表示する許可を付与 リスト
ListOrganizationalUnitsForParent 親組織単位またはルート内のすべての組織単位 (OU) を一覧表示する許可を付与 リスト

organizationalunit

root

ListParents 子 OU またはアカウントの直接の親として機能するルートまたは組織単位 (OU) を一覧表示する許可を付与 リスト

account

organizationalunit

ListPolicies 組織内のすべてのポリシーを一覧表示する許可を付与 リスト

organizations:PolicyType

ListPoliciesForTarget ルート、組織単位 (OU)、またはアカウントに直接アタッチされているすべてのポリシーを一覧表示する許可を付与 リスト

account

organizationalunit

root

organizations:PolicyType

ListRoots 組織内で定義されているすべてのルートを一覧表示する許可を付与 リスト
ListTagsForResource 指定したリソースのすべてのタグを一覧表示する許可を付与 リスト

account

organizationalunit

policy

resourcepolicy

root

ListTargetsForPolicy ポリシーがアタッチされているすべてのルーツ、OU、およびアカウントを一覧表示する許可を付与 リスト

policy*

organizations:PolicyType

MoveAccount アカウントを現在のルートまたは OU から別の親ルートまたは OU に移動する許可を付与 書き込み

account*

organizationalunit

root

PutResourcePolicy リソースポリシーを作成または更新する許可を付与します。 書き込み

resourcepolicy*

aws:RequestTag/${TagKey}

aws:TagKeys

RegisterDelegatedAdministrator ServicePrincipal で指定された AWS のサービスの Organizations 機能を管理するために、指定したメンバーアカウントを登録する許可を付与します 書き込み

account*

organizations:ServicePrincipal

RemoveAccountFromOrganization 指定したアカウントを組織から削除する許可を付与します 書き込み

account*

TagResource 指定されたリソースに 1 つ以上のタグを追加する権限を付与します タグ付け

account

organizationalunit

policy

resourcepolicy

root

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource 指定されたリソースから 1 つ以上のタグを削除する権限を付与します タグ付け

account

organizationalunit

policy

resourcepolicy

root

aws:TagKeys

UpdateOrganizationalUnit 組織単位 (OU) の名前を変更する許可を付与します 書き込み

organizationalunit*

UpdatePolicy 既存のポリシーを新しい名前、説明、またはコンテンツで更新する許可を付与します 書き込み

policy*

organizations:PolicyType

AWS Organizations で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
account arn:${Partition}:organizations::${Account}:account/o-${OrganizationId}/${AccountId}

aws:ResourceTag/${TagKey}

handshake arn:${Partition}:organizations::${Account}:handshake/o-${OrganizationId}/${HandshakeType}/h-${HandshakeId}
organization arn:${Partition}:organizations::${Account}:organization/o-${OrganizationId}
organizationalunit arn:${Partition}:organizations::${Account}:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}

aws:ResourceTag/${TagKey}

policy arn:${Partition}:organizations::${Account}:policy/o-${OrganizationId}/${PolicyType}/p-${PolicyId}

aws:ResourceTag/${TagKey}

resourcepolicy arn:${Partition}:organizations::${Account}:resourcepolicy/o-${OrganizationId}/rp-${ResourcePolicyId}

aws:ResourceTag/${TagKey}

awspolicy arn:${Partition}:organizations::aws:policy/${PolicyType}/p-${PolicyId}
root arn:${Partition}:organizations::${Account}:root/o-${OrganizationId}/r-${RootId}

aws:ResourceTag/${TagKey}

AWS Organizations の条件キー

AWS Organizations では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエストで渡されたタグでアクセスをフィルタリング 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられたタグでアクセスをフィルタリング 文字列
aws:TagKeys リクエストで渡されたタグキーでアクセスをフィルタリング ArrayOfString
organizations:PolicyType 指定したポリシータイプ名でアクセスをフィルタリングする 文字列
organizations:ServicePrincipal 指定したサービスプリンシパル名でアクセスをフィルタリングする 文字列