AWS Organizations のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Organizations のアクション、リソース、および条件キー

AWS Organizations (サービスプレフィックス: organizations) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS Organizations で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AcceptHandshake ハンドシェイクリクエストによって提案されたアクションに同意したハンドシェイクの発行者に応答を送信するアクセス許可を付与します。 書き込み

handshake*

AttachPolicy ルート、組織単位、または個々のアカウントにポリシーをアタッチするアクセス許可を付与します。 書き込み

policy*

account

organizationalunit

root

organizations:PolicyType

CancelHandshake ハンドシェイクをキャンセルするアクセス許可を付与します。 書き込み

handshake*

CreateAccount リクエストを行った認証情報を持つ組織のメンバーに自動的になる AWS アカウントを作成するアクセス許可を付与します。 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateGovCloudAccount AWS GovCloud (米国) アカウントのエイリアスを作成するアクセス許可を付与します。 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOrganization 組織を作成するアクセス許可を付与します。CreateOrganization オペレーションを呼び出す認証情報を持つアカウントは、自動的に新しい組織のマスターアカウントになります。 書き込み
CreateOrganizationalUnit ルートまたは親 OU 内に組織単位 (OU) を作成するアクセス許可を付与します。 書き込み

organizationalunit

root

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePolicy ルート、組織単位 (OU)、または個々の AWS アカウントにアタッチできるポリシーを作成するアクセス許可を付与します。 書き込み

organizations:PolicyType

aws:RequestTag/${TagKey}

aws:TagKeys

DeclineHandshake ハンドシェイクリクエストを拒否するアクセス許可を付与します。これにより、ハンドシェイクの状態が DECLINED に設定され、効果的にリクエストが非アクティブ化されます。 書き込み

handshake*

DeleteOrganization 組織を削除するアクセス許可を付与します。 書き込み
DeleteOrganizationalUnit ルートまたは別の OU から組織単位を削除するアクセス許可を付与します。 書き込み

organizationalunit*

DeletePolicy 組織からポリシーを削除するアクセス許可を付与します。 書き込み

policy*

organizations:PolicyType

DeregisterDelegatedAdministrator ServicePrincipal で指定された AWS のサービスの委任管理者として、指定されたメンバー AWS アカウントを登録解除するアクセス許可を付与します。 書き込み

account*

organizations:ServicePrincipal

DescribeAccount 指定されたアカウントに関する組織関連の詳細を取得するアクセス許可を付与します。 Read

account*

DescribeCreateAccountStatus アカウントを作成するための非同期リクエストの現在のステータスを取得するアクセス許可を付与します。 Read
DescribeEffectivePolicy アカウントの有効なポリシーを取得するアクセス許可を付与します。 Read

account*

organizations:PolicyType

DescribeHandshake 以前にリクエストされたハンドシェイクに関する詳細を取得するアクセス許可を付与します。 Read

handshake*

DescribeOrganization 呼び出し元の認証情報が属する組織に関する詳細を取得するアクセス許可を付与します。 Read
DescribeOrganizationalUnit 組織単位 (OU) の詳細を取得するアクセス許可を付与します。 Read

organizationalunit*

DescribePolicy ポリシーに関する詳細を取得するアクセス許可を付与します。 Read

policy*

organizations:PolicyType

DetachPolicy ターゲットのルート、組織単位、または個々のアカウントからポリシーをデタッチするアクセス許可を付与します。 書き込み

policy*

account

organizationalunit

root

organizations:PolicyType

DisableAWSServiceAccess AWS サービス (ServicePrincipal で指定されたサービス) と AWS Organizations との統合を無効にするアクセス許可を付与します。 書き込み

organizations:ServicePrincipal

DisablePolicyType ルートの組織ポリシータイプを無効にするアクセス許可を付与します。 書き込み

root*

organizations:PolicyType

EnableAWSServiceAccess AWS サービス (ServicePrincipal で指定されたサービス) と AWS Organizations との統合を有効にするアクセス許可を付与します。 書き込み

organizations:ServicePrincipal

EnableAllFeatures 組織内のすべての機能を有効にし、一括請求 (コンソリデーティッドビリング) 機能のみをサポートするようにアップグレードするプロセスを開始するアクセス許可を付与します。 書き込み
EnablePolicyType ルートのポリシータイプを有効にするアクセス許可を付与します。 書き込み

root*

organizations:PolicyType

InviteAccountToOrganization 招待を別の AWS アカウントに送信し、組織にメンバーアカウントとして参加するように求めるアクセス許可を付与します。 書き込み

account

aws:RequestTag/${TagKey}

aws:TagKeys

LeaveOrganization 親組織からメンバーアカウントを削除するアクセス許可を付与します。 書き込み
ListAWSServiceAccessForOrganization 組織との統合を有効にした AWS サービスのリストを取得するアクセス許可を付与します。 リスト
ListAccounts 組織内のすべてのアカウントを一覧表示するアクセス許可を付与します。 リスト
ListAccountsForParent ルートまたは組織単位 (OU) に含まれる組織内のアカウントを一覧表示するアクセス許可を付与します。 リスト

organizationalunit

root

ListChildren 親 OU またはルートに含まれるすべての OU またはアカウントを一覧表示するアクセス許可を付与します。 リスト

organizationalunit

root

ListCreateAccountStatus 現在組織で追跡中の非同期アカウント作成リクエストを一覧表示するアクセス許可を付与します。 リスト
ListDelegatedAdministrators この組織で委任された管理者として指定されている AWS アカウントを一覧表示するアクセス許可を付与します。 リスト

organizations:ServicePrincipal

ListDelegatedServicesForAccount 指定したアカウントがこの組織で委任された管理者である AWS のサービスを一覧表示するアクセス許可を付与します。 リスト

account*

ListHandshakesForAccount アカウントに関連付けられているすべてのハンドシェイクを一覧表示するアクセス許可を付与します。 リスト
ListHandshakesForOrganization 組織に関連付けられているすべてのハンドシェイクを一覧表示するアクセス許可を付与します。 リスト
ListOrganizationalUnitsForParent 親組織単位またはルート内のすべての組織単位 (OU) を一覧表示するアクセス許可を付与します。 リスト

organizationalunit

root

ListParents 子 OU またはアカウントの直接の親として機能するルートまたは組織単位 (OU) を一覧表示するアクセス許可を付与します。 リスト

account

organizationalunit

ListPolicies 組織内のすべてのポリシーを一覧表示するアクセス許可を付与します。 リスト

organizations:PolicyType

ListPoliciesForTarget ルート、組織単位 (OU)、またはアカウントに直接アタッチされているすべてのポリシーを一覧表示するアクセス許可を付与します。 リスト

account

organizationalunit

root

organizations:PolicyType

ListRoots 組織内で定義されているすべてのルートを一覧表示するアクセス許可を付与します。 リスト
ListTagsForResource 指定されたリソースのすべてのタグをリストするアクセス許可を付与します。 リスト

account

organizationalunit

policy

root

ListTargetsForPolicy ポリシーがアタッチされているすべてのルーツ、OU、およびアカウントを一覧表示するアクセス許可を付与します。 リスト

policy*

organizations:PolicyType

MoveAccount アカウントを現在のルートまたは OU から別の親ルートまたは OU に移動するアクセス許可を付与します。 書き込み

account*

organizationalunit

root

RegisterDelegatedAdministrator ServicePrincipal で指定された AWS のサービスの組織機能を管理するために、指定されたメンバーアカウントを登録するアクセス許可を付与します。 書き込み

account*

organizations:ServicePrincipal

RemoveAccountFromOrganization 組織から指定したアカウントを削除するアクセス許可を付与します。 書き込み

account*

TagResource 指定されたリソースに 1 つ以上のタグを追加するアクセス許可を付与します。 タグ付け

account

organizationalunit

policy

root

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource 指定されたリソースから 1 つ以上のタグを削除するアクセス許可を付与します。 タグ付け

account

organizationalunit

policy

root

aws:TagKeys

UpdateOrganizationalUnit 組織単位 (OU) の名前を変更するアクセス許可を付与します。 書き込み

organizationalunit*

UpdatePolicy 既存のポリシーを新しい名前、説明、またはコンテンツで更新するアクセス許可を付与します。 書き込み

policy*

organizations:PolicyType

AWS Organizations で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
account arn:${Partition}:organizations::${MasterAccountId}:account/o-${OrganizationId}/${AccountId}

aws:ResourceTag/${TagKey}

handshake arn:${Partition}:organizations::${MasterAccountId}:handshake/o-${OrganizationId}/${HandshakeType}/h-${HandshakeId}
organization arn:${Partition}:organizations::${MasterAccountId}:organization/o-${OrganizationId}
organizationalunit arn:${Partition}:organizations::${MasterAccountId}:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}

aws:ResourceTag/${TagKey}

policy arn:${Partition}:organizations::${MasterAccountId}:policy/o-${OrganizationId}/${PolicyType}/p-${PolicyId}

aws:ResourceTag/${TagKey}

awspolicy arn:${Partition}:organizations::aws:policy/${PolicyType}/p-${PolicyId}
root arn:${Partition}:organizations::${MasterAccountId}:root/o-${OrganizationId}/r-${RootId}

aws:ResourceTag/${TagKey}

AWS Organizations の条件キー

AWS Organizations では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアのプレゼンスに基づいてアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーと値のペアに基づいてアクションをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーのプレゼンスに基づいてアクションをフィルタリングします 文字列
organizations:PolicyType 指定されたポリシータイプ名のみにリクエストをフィルタリングできます。 文字列
organizations:ServicePrincipal 指定されたサービスプリンシパル名のみにリクエストをフィルタリングできます。 文字列