効果的な管理ポリシーの表示
組織内のアカウントの有効な管理ポリシーを決定します。
有効な管理ポリシーとは
有効なポリシーは、管理ポリシータイプの AWS アカウントに適用される最終ルールを指定します。これは、アカウントが継承する管理ポリシーと、アカウントに直接アタッチされている管理ポリシータイプのすべてのポリシーの集約です。組織ルートに管理ポリシーをアタッチすると、組織内のすべてのアカウントに適用されます。組織単位 (OU) に管理ポリシーをアタッチすると、OU に属するすべてのアカウントと OU に適用されます。アカウントに直接管理ポリシーをアタッチすると、その AWS アカウントにのみ適用されます。
複数のポリシーが集約され、最終的に有効なポリシーが構成される仕組みについては、管理ポリシーの継承を理解する を参照してください。
バックアップポリシーの例
組織のルートにアタッチされたバックアップポリシーでは、組織内のすべてのアカウントが、デフォルトのバックアップ頻度 (週に 1 回) ですべての Amazon DynamoDB テーブルをバックアップするように指定できます。テーブル内の重要な情報を持つ 1 つのメンバーアカウントに直接アタッチされた個別のバックアップポリシーは、1 日に 1 回の値で頻度を上書きできます。これらのバックアップポリシーの組み合わせは、有効なバックアップポリシーで構成されます。有効なバックアップポリシーは、組織内のアカウントごとに個別に決定されます。この例では、例外的に毎日テーブルをバックアップする 1 つのアカウントを除き、組織内のすべてのアカウントが 1 週間に 1 回ずつ DynamoDB テーブルをバックアップします。
タグポリシーの例
組織ルートにアタッチされたタグポリシーで、4 つの準拠値を持つ CostCenter タグを定義するとします。この場合、アカウントにアタッチされた別のタグポリシーで、 CostCenter キーを 4 つの準拠値のうち 2 つだけに制限できます。これらのタグポリシーを組み合わせることにより、有効なタグポリシーが構成されます。その結果、組織ルートのタグポリシーで定義されている 4 つの準拠タグ値のうち 2 つだけがアカウントで準拠することになります。
チャットボットポリシーの例
AWS Chatbot は、以前に作成した AWS Chatbot の設定を有効なチャットボットポリシーと照らし合わせて再評価し、有効なポリシーで許可されている設定とガードレールと一致している場合、以前に許可されたアクションを拒否します。メンバーアカウントの有効なポリシーは、許可された設定とガードレールを定義します。例えば、パブリック Slack チャネルへのアクセスを拒否するチャットボットポリシーがメンバーアカウントに適用される場合、メンバーアカウントのパブリック Slack チャネルの既存の AWS Chatbot の設定は無効になります。チャットボットは通知を配信しなくなり、チャンネルメンバーはブロックされたチャンネルでタスクを実行できなくなります。AWS Chatbot コンソールは、影響を受けるチャネルを無効としてマークし、その横に適切なエラーメッセージを表示します。
AI サービスのオプトアウトの例
組織ルートにアタッチされた AI サービスのオプトアウトポリシーで、すべての AWS 機械学習サービスによるコンテンツの使用を組織内のすべてのアカウントがオプトアウトするよう指定したとします。一方、あるメンバーアカウントに直接アタッチされた別の AI サービスのオプトアウトポリシーでは、Amazon Rekognition によるコンテンツの使用だけはオプトインするよう指定されています。これらの AI サービスのオプトアウトポリシーが組み合わされ、有効な AI サービスのオプトアウトポリシーが構成されます。結果として、組織内のすべてのアカウントは、すべての AWS のサービスからオプトアウトされ、例外として、1 つのアカウントでのみ Amazon Rekognition をオプトインします。
有効な管理ポリシーの表示方法
アカウントの管理ポリシータイプの有効なポリシーは、AWS Management Console、AWS API、または AWS Command Line Interface から表示できます。
最小アクセス許可
アカウントの管理ポリシータイプの有効なポリシーを表示するには、以下のアクションを実行する権限が必要です。
-
organizations:DescribeEffectivePolicy -
organizations:DescribeOrganization- Organizations コンソールを使用する場合にのみ必要
