翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Organizations のアクション、リソース、および条件キー
AWS Organizations (サービスプレフィックス: organizations
) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
リファレンス:
-
このサービスを設定する方法について説明します。
-
このサービスで使用できる API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法について説明します。
AWS Organizations で定義されるアクション
IAM ポリシーステートメントの Action
要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource
要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource
要素を使用してリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN または パターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition
要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
---|---|---|---|---|---|
AcceptHandshake | ハンドシェイクリクエストによって提案されたアクションに同意したハンドシェイクの発行者に応答を送信する許可を付与 | 書き込み |
iam:CreateServiceLinkedRole |
||
AttachPolicy | ルート、組織単位、または個々のアカウントにポリシーをアタッチする許可を付与 | 書き込み | |||
CancelHandshake | ハンドシェイクをキャンセルする許可を付与 | 書き込み | |||
CloseAccount | 組織内で作成されたか、組織に参加するように招待 AWS アカウント された、Organizations の一部になった を閉じるアクセス許可を付与します | 書き込み | |||
CreateAccount | リクエストを行った認証情報を使用して、自動的に組織のメンバー AWS アカウント である を作成するアクセス許可を付与します | 書き込み | |||
CreateGovCloudAccount | AWS GovCloud (US) アカウントを作成するアクセス許可を付与します | 書き込み | |||
CreateOrganization | 組織を作成する許可を付与 CreateOrganization オペレーションを呼び出す認証情報を持つアカウントは、新しい組織の管理アカウントに自動的になります。 | 書き込み |
iam:CreateServiceLinkedRole |
||
CreateOrganizationalUnit | ルートまたは親 OU 内に組織単位 (OU) を作成する許可を付与 | 書き込み | |||
CreatePolicy | ルート、組織単位 (OU)、または個人にアタッチできるポリシーを作成するアクセス許可を付与します AWS アカウント | 書き込み | |||
DeclineHandshake | ハンドシェイクリクエストを拒否する許可を付与 これにより、ハンドシェイク状態が DECLINED に設定され、リクエストが効果的に非アクティブ化されます。 | 書き込み | |||
DeleteOrganization | 組織を削除する許可を付与 | 書き込み | |||
DeleteOrganizationalUnit | ルートまたは別の OU から組織単位を削除する許可を付与 | 書き込み | |||
DeletePolicy | 組織からポリシーを削除する許可を付与 | 書き込み | |||
DeleteResourcePolicy | 組織からリソースポリシーを削除するための許可を付与します | 書き込み | |||
DeregisterDelegatedAdministrator | 指定されたメンバーを、 ServicePrincipal で指定された AWS サービスの委任管理者 AWS アカウント として登録解除するアクセス許可を付与します | 書き込み | |||
DescribeAccount | 指定したアカウントに関する Organizations 関連の詳細を取得する許可を付与 | 読み込み | |||
DescribeCreateAccountStatus | アカウントを作成するための非同期リクエストの現在のステータスを取得する許可を付与 | 読み込み | |||
DescribeEffectivePolicy | アカウントの有効なポリシーを取得する許可を付与 | 読み込み | |||
DescribeHandshake | 以前にリクエストされたハンドシェイクに関する詳細を取得する許可を付与 | 読み込み | |||
DescribeOrganization | 呼び出し元の認証情報が属する組織に関する詳細を取得する許可を付与 | 読み込み | |||
DescribeOrganizationalUnit | 組織単位 (OU) の詳細を取得する許可を付与 | 読み込み | |||
DescribePolicy | ポリシーに関する詳細を取得する許可を付与 | 読み取り | |||
DescribeResourcePolicy | リソースポリシーに関する情報を取得するための許可を付与します | 読み取り | |||
DetachPolicy | ターゲットのルート、組織単位、または個々のアカウントからポリシーをデタッチする許可を付与 | 書き込み | |||
DisableAWSServiceAccess | AWS サービス ( ServicePrincipal で指定されたサービス) と AWS Organizations の統合を無効にするアクセス許可を付与します | 書き込み | |||
DisablePolicyType | ルートの組織ポリシータイプを無効にする許可を付与 | 書き込み | |||
EnableAWSServiceAccess | AWS サービス ( ServicePrincipal で指定されたサービス) と AWS Organizations の統合を有効にするアクセス許可を付与します | 書き込み | |||
EnableAllFeatures | 一括請求機能のみをサポートする設定からアップグレードするために、組織内のすべての機能を有効にするプロセスを開始する許可を付与 | 書き込み | |||
EnablePolicyType | ルートのポリシータイプを有効にする許可を付与 | 書き込み | |||
InviteAccountToOrganization | 別の に招待を送信し AWS アカウント、メンバーアカウントとして組織に参加するように求めるアクセス許可を付与します | 書き込み | |||
LeaveOrganization | 親組織からメンバーアカウントを削除する許可を付与 | 書き込み | |||
ListAWSServiceAccessForOrganization | 組織との統合を有効にした AWS サービスのリストを取得する許可を付与 | リスト | |||
ListAccounts | 組織内のすべてのアカウントを一覧表示する許可を付与 | リスト | |||
ListAccountsForParent | ルートまたは組織単位 (OU) に含まれる組織内のアカウントを一覧表示する許可を付与 | リスト | |||
ListChildren | 親 OU またはルートに含まれるすべての OUs またはアカウントを一覧表示する許可を付与 | リスト | |||
ListCreateAccountStatus | 現在組織で追跡中の非同期アカウント作成リクエストを一覧表示する許可を付与 | リスト | |||
ListDelegatedAdministrators | この組織で委任管理者として指定されている AWS アカウントを一覧表示するアクセス許可を付与します | リスト | |||
ListDelegatedServicesForAccount | 指定されたアカウントがこの組織の委任管理者である AWS サービスを一覧表示するアクセス許可を付与します | リスト | |||
ListHandshakesForAccount | アカウントに関連付けられているすべてのハンドシェイクを一覧表示する許可を付与 | リスト | |||
ListHandshakesForOrganization | 組織に関連付けられているハンドシェイクを一覧表示する許可を付与 | リスト | |||
ListOrganizationalUnitsForParent | 親組織単位またはルート内のすべての組織単位 (OUs) を一覧表示する許可を付与 | リスト | |||
ListParents | 子 OU またはアカウントの直接の親として機能するルートまたは組織単位 (OUs) を一覧表示するアクセス許可を付与します | リスト | |||
ListPolicies | 組織内のすべてのポリシーを一覧表示する許可を付与 | リスト | |||
ListPoliciesForTarget | ルート、組織単位 (OU)、またはアカウントに直接アタッチされているすべてのポリシーを一覧表示する許可を付与 | リスト | |||
ListRoots | 組織内で定義されているすべてのルートを一覧表示する許可を付与 | リスト | |||
ListTagsForResource | 指定したリソースのすべてのタグを一覧表示する許可を付与 | リスト | |||
ListTargetsForPolicy | ポリシーがアタッチされているすべてのルート、OUs、およびアカウントを一覧表示するアクセス許可を付与します | リスト | |||
MoveAccount | アカウントを現在のルートまたは OU から別の親ルートまたは OU に移動する許可を付与 | 書き込み | |||
PutResourcePolicy | リソースポリシーを作成または更新する許可を付与します。 | 書き込み | |||
RegisterDelegatedAdministrator | 指定されたメンバーアカウントを登録して、 ServicePrincipal で指定された AWS サービスの Organizations 機能を管理するアクセス許可を付与します | 書き込み | |||
RemoveAccountFromOrganization | 指定したアカウントを組織から削除する許可を付与します | 書き込み | |||
TagResource | 指定されたリソースに 1 つ以上のタグを追加する権限を付与します | タグ付け | |||
UntagResource | 指定されたリソースから 1 つ以上のタグを削除する権限を付与します | タグ付け | |||
UpdateOrganizationalUnit | 組織単位 (OU) の名前を変更する許可を付与します | 書き込み | |||
UpdatePolicy | 既存のポリシーを新しい名前、説明、またはコンテンツで更新する許可を付与します | 書き込み | |||
AWS Organizations で定義されるリソースタイプ
次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource
要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
リソースタイプ | ARN | 条件キー |
---|---|---|
account |
arn:${Partition}:organizations::${Account}:account/o-${OrganizationId}/${AccountId}
|
|
handshake |
arn:${Partition}:organizations::${Account}:handshake/o-${OrganizationId}/${HandshakeType}/h-${HandshakeId}
|
|
organization |
arn:${Partition}:organizations::${Account}:organization/o-${OrganizationId}
|
|
organizationalunit |
arn:${Partition}:organizations::${Account}:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}
|
|
policy |
arn:${Partition}:organizations::${Account}:policy/o-${OrganizationId}/${PolicyType}/p-${PolicyId}
|
|
resourcepolicy |
arn:${Partition}:organizations::${Account}:resourcepolicy/o-${OrganizationId}/rp-${ResourcePolicyId}
|
|
awspolicy |
arn:${Partition}:organizations::aws:policy/${PolicyType}/p-${PolicyId}
|
|
root |
arn:${Partition}:organizations::${Account}:root/o-${OrganizationId}/r-${RootId}
|
AWS Organizations の条件キー
AWS Organizations では、IAM ポリシーの Condition
要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
条件キー | 説明 | タイプ |
---|---|---|
aws:RequestTag/${TagKey} | リクエストで渡されたタグでアクセスをフィルタリングします | 文字列 |
aws:ResourceTag/${TagKey} | リソースに関連付けられたタグでアクセスをフィルタリングします | 文字列 |
aws:TagKeys | リクエストで渡されたタグキーでアクセスをフィルタリングします | ArrayOfString |
organizations:PolicyType | 指定したポリシータイプ名でアクセスをフィルタリングする | 文字列 |
organizations:ServicePrincipal | 指定したサービスプリンシパル名でアクセスをフィルタリングする | 文字列 |