AI サービスのオプトアウトポリシーの作成 AI サービスのオプトアウトポリシーの更新 AI サービスのオプトアウトポリシーにアタッチされたタグの編集 AI サービスのオプトアウトポリシーの削除

AI サービスのオプトアウトポリシーの作成、更新、削除

このトピックの内容

組織の AI サービスのオプトアウトポリシーを有効化すると、ポリシーの作成が可能になります。
オプトアウト要件を変更した場合は、既存のポリシーを更新します。
ポリシーが不要になった場合、すべての組織単位 (OU) およびアカウントからポリシーをデタッチした後、ポリシーを削除できます。

AI サービスのオプトアウトポリシーの作成

最小アクセス許可

AI サービスのオプトアウトポリシーを作成するには、次のアクションを実行するアクセス許可が必要です。

organizations:CreatePolicy

AWS Management Console

AI サービスのオプトアウトポリシーを作成するには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。
AI サービスのオプトアウトポリシーページで、[Create policy] (ポリシーの作成) を選択します。
[Create new AI services opt-out policy] (新しい AI サービスのオプトアウトポリシーの作成) ページで、ポリシー名とポリシーの説明を入力します。
(オプション) [Add tag] (タグの追加) を選択してキーとオプションの値を入力することで、ポリシーに 1 つ以上のタグを追加できます。値を空白のままにすると、空の文字列が設定され、null にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「AWS Organizations リソースのタグ付け」を参照してください。
[JSON] タブで、ポリシーテキストを入力するか貼り付けます。AI サービスのオプトアウトポリシーの構文について詳しくは、AI サービスのオプトアウトポリシーの構文と例を参照してください。開始点として使用できるサンプルポリシーについては、AI サービスのオプトアウトポリシーの例を参照してください。
ポリシーの編集が完了したら、ページの右下隅の [Create policy] (ポリシーの作成) を選択します。

AWS CLI & AWS SDKs

AI サービスのオプトアウトポリシーを作成するには

次のいずれかを使用して、タグポリシーを作成できます。

AWS CLI: create-policy

次のような AI サービスのオプトアウトポリシーを作成し、テキストファイルとして保存します。「optOut」と「optIn」では大文字と小文字が区別されます。
```
{
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}
```
この AI サービスのオプトアウトポリシーは、ポリシーの影響を受けるすべてのアカウントが、Amazon Rekognition を除くすべての AI サービスからオプトアウトされるように指定します。

JSON ポリシーファイルをインポートして、組織内に新しいポリシーを作成します。この例では、先に扱った JSON ファイルは policy.json という名前になっています。


$ aws organizations create-policy \
    --type AISERVICES_OPT_OUT_POLICY \
    --name "MyTestPolicy" \
    --description "My test policy" \
    --content file://policy.json
{
    "Policy": {
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5"
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Description": "My test policy",
            "Name": "MyTestPolicy",
            "Type": "AISERVICES_OPT_OUT_POLICY"
        }
    }
}

AWS SDKs CreatePolicy

次のステップ

AI サービスのオプトアウトポリシーを作成したら、オプトアウト設定を有効にすることができます。そのためには、組織ルート、組織単位 (OUs)、組織 AWS アカウント内、またはこれらすべての組み合わせにポリシーをアタッチできます。

AI サービスのオプトアウトポリシーの更新

最小アクセス許可

AI サービスのオプトアウトポリシーを更新するには、次のアクションを実行するアクセス許可が必要です。

指定されたポリシー (または "*") の ARN を含む同じポリシーステートメントの Resource 要素を持つ organizations:UpdatePolicy。
指定したポリシー (または "*") の Amazon リソースネーム (ARN) を含む同じポリシーステートメントの Resource 要素を持つ organizations:DescribePolicy。

AWS Management Console

AI サービスのオプトアウトポリシーを更新するには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。
AI サービスのオプトアウトポリシーページで、更新するポリシーの名前を選択します。
ポリシーの詳細ページで、[Edit policy] (ポリシーの編集) を選択します。
新しいポリシー名とポリシーの説明を入力するか、JSON ポリシーテキストを編集します。AI サービスのオプトアウトポリシーの構文について詳しくは、AI サービスのオプトアウトポリシーの構文と例を参照してください。開始点として使用できるサンプルポリシーについては、AI サービスのオプトアウトポリシーの例を参照してください。
ポリシーの更新が完了したら、[変更を保存] を選択します。

AWS CLI & AWS SDKs

ポリシーを更新するには

次のいずれかを使用して、ポリシーを更新できます。

AWS CLI: update-policy

次の例では、AI サービスのオプトアウトポリシーの名前を変更しています。


$ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --name "Renamed policy"
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Name": "Renamed policy",
            "Type": "AISERVICES_OPT_OUT_POLICY",
            "AwsManaged": false
        },
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":   ....TRUNCATED FOR BREVITY...   :{\"@@assign\":\"optIn\"}}}}"
    }
}

次の例では、AI サービスのオプトアウトポリシーの説明を追加、変更しています。


$ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --description "My new description"
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Name": "Renamed policy",
            "Description": "My new description",
            "Type": "AISERVICES_OPT_OUT_POLICY",
            "AwsManaged": false
        },
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":   ....TRUNCATED FOR BREVITY...   :{\"@@assign\":\"optIn\"}}}}"
    }
}

次の例では、AI サービスのオプトアウトポリシーにアタッチされた JSON ポリシードキュメントを変更しています。この例では、次のようなテキストを含む policy.json というファイルから、内容が取得されています。


{
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "comprehend": {
            "opt_out_policy": {
                "@@operators_allowed_for_child_policies": ["@@none"],
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}


$ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --content file://policy.json
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Name": "Renamed policy",
            "Description": "My new description",
            "Type": "AISERVICES_OPT_OUT_POLICY",
            "AwsManaged": false
        },
         "Content": "{\n\"services\": {\n\"default\": {\n\"   ....TRUNCATED FOR BREVITY....    ": \"optIn\"\n}\n}\n}\n}\n"}
}

AWS SDKs UpdatePolicy

AI サービスのオプトアウトポリシーにアタッチされたタグの編集

組織の管理アカウントにサインインすると、AI サービスのオプトアウトポリシーにアタッチされたタグの追加と削除を行うことができます。タグ付けの詳細については、「AWS Organizations リソースのタグ付け」を参照してください。

最小アクセス許可

AWS 組織の AI サービスのオプトアウトポリシーにアタッチされたタグを編集するには、次のアクセス許可が必要です。

organizations:DescribeOrganization - Organizations コンソールを使用する場合にのみ必要
organizations:DescribePolicy - Organizations コンソールを使用する場合にのみ必要
organizations:TagResource
organizations:UntagResource

AWS Management Console

AI サービスのオプトアウトポリシーにアタッチされたタグを編集するには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。
AI サービスのオプトアウトポリシーページで、タグを編集するポリシーの名前を選択します。
選択したポリシーの詳細ページで、[Tags] (タグ) タブ、[Manage tags] (タグ管理) の順に選択します。
このページでは次のアクションを実行できます。
- 古い値に上書きして新しい値を入力し、任意のタグの値を編集します。キーは変更できません。キーを変更するには、古いキーを持つタグを削除し、新しいキーを持つタグを追加する必要があります。
- [Remove] (削除) を選択すると、既存のタグが削除されます。
- 新しいタグのキーと値のペアを追加します。[Add tag] (タグの追加) を選択し、表示されたボックスに新しいキー名とオプションの値を入力します。[Value] (値) ボックスを空白のままにすると、値は空の文字列に設定され、null にはなりません。
必要な追加、削除、編集をすべて終えたら、[Save changes] (変更の保存) を選択します。

AWS CLI & AWS SDKs

AI サービスのオプトアウトポリシーにアタッチされたタグを編集するには

AI サービスのオプトアウトポリシーにアタッチされたタグを編集するには、次のいずれかのコマンドを使用します。

AWS CLI: tag-resource および untag-resource
AWS SDKsTagResourceおよび UntagResource

AI サービスのオプトアウトポリシーの削除

組織の管理アカウントにサインインすると、組織に不要になったポリシーを削除できます。

ポリシーを削除するには、まずそのポリシーをすべての添付エンティティからデタッチする必要があります。

最小アクセス許可

ポリシーを削除するには、次のアクションを実行するアクセス許可が必要です。

organizations:DescribePolicy (コンソールのみ - ポリシーに移動するために使用)
organizations:DeletePolicy

AI サービスのオプトアウトポリシーを削除するには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。
AI サービスのオプトアウトポリシーページで、削除するポリシーの名前を選択します。
削除するポリシーは、まず、すべてのルート、OU、アカウントからデタッチする必要があります。[Targets] (ターゲット) タブを選択し、[Targets] (ターゲット) リストの各ルート、OU、アカウントの横にあるラジオボタンをクリックしてから、[Detach] (デタッチ) を選択します。確認ダイアログボックスで、[Detach] (デタッチ) を選択します。すべてのターゲットを削除するまで繰り返します。
ページの上部で、[Delete] (削除) を選択します。
確認ダイアログボックスで、ポリシーの名前を入力し、[Delete] (削除) を選択します。

AI サービスのオプトアウトポリシーを削除するには

以下のコード例は、DeletePolicy の使用方法を示しています。

.NET

AWS SDK for .NET

注記

については、「」を参照してください GitHub。AWS コード例リポジトリで全く同じ例を見つけて、設定と実行の方法を確認してください。


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Deletes an existing AWS Organizations policy.
    /// </summary>
    public class DeletePolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then uses it to
        /// delete the policy with the specified policyId.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";

            var request = new DeletePolicyRequest
            {
                PolicyId = policyId,
            };

            var response = await client.DeletePolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully deleted Policy: {policyId}.");
            }
            else
            {
                Console.WriteLine($"Could not delete Policy: {policyId}.");
            }
        }
    }

API の詳細については、「 API リファレンスDeletePolicy」の「」を参照してください。 AWS SDK for .NET

CLI

AWS CLI

ポリシーを削除するには

次の例は、組織からポリシーを削除する方法を示しています。この例では、ポリシーをすべてのエンティティから事前にデタッチしたことを前提としています。


aws organizations delete-policy --policy-id p-examplepolicyid111

API の詳細については、「コマンドリファレンスDeletePolicy」の「」を参照してください。 AWS CLI

Python

SDK for Python (Boto3)

注記

については、「」を参照してください GitHub。AWS コード例リポジトリで全く同じ例を見つけて、設定と実行の方法を確認してください。


def delete_policy(policy_id, orgs_client):
    """
    Deletes a policy.

    :param policy_id: The ID of the policy to delete.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.delete_policy(PolicyId=policy_id)
        logger.info("Deleted policy %s.", policy_id)
    except ClientError:
        logger.exception("Couldn't delete policy %s.", policy_id)
        raise

API の詳細については、 DeletePolicy AWS SDK for Python (Boto3) API リファレンスの「」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AI サービスのオプトアウトポリシー

アタッチとデタッチ