AWS Organizations のアクション、リソース、および条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Organizations のアクション、リソース、および条件キー

AWS Organizations (サービスプレフィックス: organizations) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

AWS Organizations で定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素を使用してリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN または パターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AcceptHandshake ハンドシェイクリクエストによって提案されたアクションに同意したハンドシェイクの発行者に応答を送信する許可を付与 書き込み

handshake*

iam:CreateServiceLinkedRole

AttachPolicy ルート、組織単位、または個々のアカウントにポリシーをアタッチする許可を付与 書き込み

policy*

account

organizationalunit

root

organizations:PolicyType

CancelHandshake ハンドシェイクをキャンセルする許可を付与 書き込み

handshake*

CloseAccount 組織内で作成されたか、組織に参加するように招待 AWS アカウント された、Organizations の一部になった を閉じるアクセス許可を付与します 書き込み

account*

CreateAccount リクエストを行った認証情報を使用して、自動的に組織のメンバー AWS アカウント である を作成するアクセス許可を付与します 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateGovCloudAccount AWS GovCloud (US) アカウントを作成するアクセス許可を付与します 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOrganization 組織を作成する許可を付与 CreateOrganization オペレーションを呼び出す認証情報を持つアカウントは、新しい組織の管理アカウントに自動的になります。 書き込み

iam:CreateServiceLinkedRole

CreateOrganizationalUnit ルートまたは親 OU 内に組織単位 (OU) を作成する許可を付与 書き込み

organizationalunit

root

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePolicy ルート、組織単位 (OU)、または個人にアタッチできるポリシーを作成するアクセス許可を付与します AWS アカウント 書き込み

organizations:PolicyType

aws:RequestTag/${TagKey}

aws:TagKeys

DeclineHandshake ハンドシェイクリクエストを拒否する許可を付与 これにより、ハンドシェイク状態が DECLINED に設定され、リクエストが効果的に非アクティブ化されます。 書き込み

handshake*

DeleteOrganization 組織を削除する許可を付与 書き込み
DeleteOrganizationalUnit ルートまたは別の OU から組織単位を削除する許可を付与 書き込み

organizationalunit*

DeletePolicy 組織からポリシーを削除する許可を付与 書き込み

policy*

organizations:PolicyType

DeleteResourcePolicy 組織からリソースポリシーを削除するための許可を付与します 書き込み
DeregisterDelegatedAdministrator 指定されたメンバーを、 ServicePrincipal で指定された AWS サービスの委任管理者 AWS アカウント として登録解除するアクセス許可を付与します 書き込み

account*

organizations:ServicePrincipal

DescribeAccount 指定したアカウントに関する Organizations 関連の詳細を取得する許可を付与 読み込み

account*

DescribeCreateAccountStatus アカウントを作成するための非同期リクエストの現在のステータスを取得する許可を付与 読み込み
DescribeEffectivePolicy アカウントの有効なポリシーを取得する許可を付与 読み込み

account*

organizations:PolicyType

DescribeHandshake 以前にリクエストされたハンドシェイクに関する詳細を取得する許可を付与 読み込み

handshake*

DescribeOrganization 呼び出し元の認証情報が属する組織に関する詳細を取得する許可を付与 読み込み
DescribeOrganizationalUnit 組織単位 (OU) の詳細を取得する許可を付与 読み込み

organizationalunit*

DescribePolicy ポリシーに関する詳細を取得する許可を付与 読み取り

policy*

organizations:PolicyType

DescribeResourcePolicy リソースポリシーに関する情報を取得するための許可を付与します 読み取り
DetachPolicy ターゲットのルート、組織単位、または個々のアカウントからポリシーをデタッチする許可を付与 書き込み

policy*

account

organizationalunit

root

organizations:PolicyType

DisableAWSServiceAccess AWS サービス ( ServicePrincipal で指定されたサービス) と AWS Organizations の統合を無効にするアクセス許可を付与します 書き込み

organizations:ServicePrincipal

DisablePolicyType ルートの組織ポリシータイプを無効にする許可を付与 書き込み

root*

organizations:PolicyType

EnableAWSServiceAccess AWS サービス ( ServicePrincipal で指定されたサービス) と AWS Organizations の統合を有効にするアクセス許可を付与します 書き込み

organizations:ServicePrincipal

EnableAllFeatures 一括請求機能のみをサポートする設定からアップグレードするために、組織内のすべての機能を有効にするプロセスを開始する許可を付与 書き込み
EnablePolicyType ルートのポリシータイプを有効にする許可を付与 書き込み

root*

organizations:PolicyType

InviteAccountToOrganization 別の に招待を送信し AWS アカウント、メンバーアカウントとして組織に参加するように求めるアクセス許可を付与します 書き込み

account

aws:RequestTag/${TagKey}

aws:TagKeys

LeaveOrganization 親組織からメンバーアカウントを削除する許可を付与 書き込み
ListAWSServiceAccessForOrganization 組織との統合を有効にした AWS サービスのリストを取得する許可を付与 リスト
ListAccounts 組織内のすべてのアカウントを一覧表示する許可を付与 リスト
ListAccountsForParent ルートまたは組織単位 (OU) に含まれる組織内のアカウントを一覧表示する許可を付与 リスト

organizationalunit

root

ListChildren 親 OU またはルートに含まれるすべての OUs またはアカウントを一覧表示する許可を付与 リスト

organizationalunit

root

ListCreateAccountStatus 現在組織で追跡中の非同期アカウント作成リクエストを一覧表示する許可を付与 リスト
ListDelegatedAdministrators この組織で委任管理者として指定されている AWS アカウントを一覧表示するアクセス許可を付与します リスト

organizations:ServicePrincipal

ListDelegatedServicesForAccount 指定されたアカウントがこの組織の委任管理者である AWS サービスを一覧表示するアクセス許可を付与します リスト

account*

ListHandshakesForAccount アカウントに関連付けられているすべてのハンドシェイクを一覧表示する許可を付与 リスト
ListHandshakesForOrganization 組織に関連付けられているハンドシェイクを一覧表示する許可を付与 リスト
ListOrganizationalUnitsForParent 親組織単位またはルート内のすべての組織単位 (OUs) を一覧表示する許可を付与 リスト

organizationalunit

root

ListParents 子 OU またはアカウントの直接の親として機能するルートまたは組織単位 (OUs) を一覧表示するアクセス許可を付与します リスト

account

organizationalunit

ListPolicies 組織内のすべてのポリシーを一覧表示する許可を付与 リスト

organizations:PolicyType

ListPoliciesForTarget ルート、組織単位 (OU)、またはアカウントに直接アタッチされているすべてのポリシーを一覧表示する許可を付与 リスト

account

organizationalunit

root

organizations:PolicyType

ListRoots 組織内で定義されているすべてのルートを一覧表示する許可を付与 リスト
ListTagsForResource 指定したリソースのすべてのタグを一覧表示する許可を付与 リスト

account

organizationalunit

policy

resourcepolicy

root

ListTargetsForPolicy ポリシーがアタッチされているすべてのルート、OUs、およびアカウントを一覧表示するアクセス許可を付与します リスト

policy*

organizations:PolicyType

MoveAccount アカウントを現在のルートまたは OU から別の親ルートまたは OU に移動する許可を付与 書き込み

account*

organizationalunit*

root*

PutResourcePolicy リソースポリシーを作成または更新する許可を付与します。 書き込み

resourcepolicy*

aws:RequestTag/${TagKey}

aws:TagKeys

RegisterDelegatedAdministrator 指定されたメンバーアカウントを登録して、 ServicePrincipal で指定された AWS サービスの Organizations 機能を管理するアクセス許可を付与します 書き込み

account*

organizations:ServicePrincipal

RemoveAccountFromOrganization 指定したアカウントを組織から削除する許可を付与します 書き込み

account*

TagResource 指定されたリソースに 1 つ以上のタグを追加する権限を付与します タグ付け

account

organizationalunit

policy

resourcepolicy

root

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource 指定されたリソースから 1 つ以上のタグを削除する権限を付与します タグ付け

account

organizationalunit

policy

resourcepolicy

root

aws:TagKeys

UpdateOrganizationalUnit 組織単位 (OU) の名前を変更する許可を付与します 書き込み

organizationalunit*

UpdatePolicy 既存のポリシーを新しい名前、説明、またはコンテンツで更新する許可を付与します 書き込み

policy*

organizations:PolicyType

AWS Organizations で定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
account arn:${Partition}:organizations::${Account}:account/o-${OrganizationId}/${AccountId}

aws:ResourceTag/${TagKey}

handshake arn:${Partition}:organizations::${Account}:handshake/o-${OrganizationId}/${HandshakeType}/h-${HandshakeId}
organization arn:${Partition}:organizations::${Account}:organization/o-${OrganizationId}
organizationalunit arn:${Partition}:organizations::${Account}:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}

aws:ResourceTag/${TagKey}

policy arn:${Partition}:organizations::${Account}:policy/o-${OrganizationId}/${PolicyType}/p-${PolicyId}

aws:ResourceTag/${TagKey}

resourcepolicy arn:${Partition}:organizations::${Account}:resourcepolicy/o-${OrganizationId}/rp-${ResourcePolicyId}

aws:ResourceTag/${TagKey}

awspolicy arn:${Partition}:organizations::aws:policy/${PolicyType}/p-${PolicyId}
root arn:${Partition}:organizations::${Account}:root/o-${OrganizationId}/r-${RootId}

aws:ResourceTag/${TagKey}

AWS Organizations の条件キー

AWS Organizations では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエストで渡されたタグでアクセスをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられたタグでアクセスをフィルタリングします 文字列
aws:TagKeys リクエストで渡されたタグキーでアクセスをフィルタリングします ArrayOfString
organizations:PolicyType 指定したポリシータイプ名でアクセスをフィルタリングする 文字列
organizations:ServicePrincipal 指定したサービスプリンシパル名でアクセスをフィルタリングする 文字列