サービスコントロールポリシー (SCPs) - AWS Organizations
の影響のテスト SCPsの最大サイズ SCPs組織内のさまざまなレベルSCPsへのアタッチSCP アクセス許可への影響アクセスデータを使用した改善 SCPsによって制限されていないタスクとエンティティ SCPs

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスコントロールポリシー (SCPs)

サービスコントロールポリシー (SCPs) は、組織内のアクセス許可を管理するために使用できる組織ポリシーの一種です。SCPs は、組織内のIAMユーザーとIAMロールが利用できる最大アクセス許可を一元的に制御できます。SCPs は、アカウントが組織のアクセスコントロールガイドラインの範囲内に収まるようにするのに役立ちます。SCPs は、すべての機能が有効になっている組織でのみ使用できます。SCPs 組織が一括請求機能のみを有効にしている場合、 は使用できません。を有効にする手順については、SCPs「」を参照してくださいポリシータイプの有効化

SCPs は、組織内のIAMユーザーとIAMロールにアクセス許可を付与しません。によってアクセス許可が付与されることはありませんSCP。は、組織内のIAMユーザーとIAMロールが実行できるアクションに対するアクセス許可ガードレールSCPを定義するか、制限を設定します。アクセス許可を付与するには、管理者はアクセスを制御するポリシーをアタッチする必要があります。例えば、IAMユーザーとIAMロールにアタッチされたアイデンティティベースのポリシーや、アカウントのリソースにアタッチされたリソースベースのポリシーなどです。有効なアクセス許可は、 で許可されているものと、アイデンティティおよびリソースベースのポリシーで許可されているSCPものとの間の論理的な共通部分です。

重要

SCPs 管理アカウントのユーザーまたはロールには影響しません。SCP は、組織内のメンバーアカウントにのみ影響を与えます。

トピック

の影響のテスト SCPs

AWS では、ポリシーがアカウントに与える影響を徹底的にテストすることなく、組織のルートSCPsに をアタッチしないことを強くお勧めします。代わりに、お客様のアカウントを一度に 1 つずつ、または少なくとも少人数ずつ移動できる OU を作成し、誤って主要なサービスからユーザーを締め出すことのないようにします。サービスがアカウントによって使用されているかどうかを判断する 1 つの方法は、 でサービスの最終アクセス時間データIAMを調べることです。もう 1 つの方法は、 AWS CloudTrail API レベル でサービス使用状況をログに記録するには、 を使用します

注記

FullAWSAccess ポリシーを変更したり、許可されたアクションで別のポリシーに置き換えたりしない限り、F ポリシーを削除しないでください。それ以外の場合は、すべて AWS メンバーアカウントからの アクションは失敗します。

の最大サイズ SCPs

のすべての文字は、最大サイズ に対してSCPカウントされます。このガイドの例では、読みやすさを向上させるために、余分な空白でSCPsフォーマットされた を示しています。ただし、ポリシーサイズが上限サイズに近づいている場合は、スペースを節約するために、引用符の外側にあるすべての空白文字 (スペースや改行など) を削除できます。

ヒント

ビジュアルエディタを使用して を構築しますSCP。これによって、よけいな空白が自動的に削除されます。

組織内のさまざまなレベルSCPsへのアタッチ

SCPs 仕組みの詳細については、「」を参照してくださいSCP 評価

SCP アクセス許可への影響

SCPs は に似ています AWS Identity and Access Management (IAM) アクセス許可ポリシー と は、ほとんど同じ構文を使用します。ただし、 がアクセス許可を付与SCPすることはありません。代わりに、 SCPsは、組織内のIAMユーザーとIAMロールの最大アクセス許可を指定するJSONポリシーです。詳細については、「 ユーザーガイド」の「ポリシー評価ロジックIAM」を参照してください。

  • SCPs は、組織の一部であるアカウントによって管理されているIAMユーザーとロールにのみ影響します。SCPs はリソースベースのポリシーに直接影響しません。また、組織外のアカウントに属するユーザーやロールにも影響しません。組織内のアカウント A が所有する Amazon S3 バケットについて考えてみます。このバケットポリシー (リソースベースのポリシー) は、組織外のアカウント B に属するユーザーにアクセスを許可します。アカウント A には がアSCPタッチされています。これは、アカウント B の外部ユーザーSCPには適用されません。 SCPは、組織内のアカウント A によって管理されているユーザーにのみ適用されます。

  • は、メンバーアカウントのルートIAMユーザーを含む、メンバーアカウントのユーザーとロールのアクセス許可SCPを制限します。すべてのアカウントには、その上位のすべての親で許可されている権限のみがあります。アカウントの上位の任意のレベルで、暗黙的 (Allowポリシーステートメントに含まれない) または明示的に (Denyポリシーステートメントに含まれる) アクセス許可がブロックされている場合、アカウント管理者がユーザーに */* アクセス許可でAdministratorAccessIAMポリシーをアタッチした場合でも、影響を受けるアカウントのユーザーまたはロールはそのアクセス許可を使用できません。

  • SCPs は、組織内のメンバーアカウントにのみ影響します。管理アカウントのユーザーやロールには影響しません。

  • ユーザーとロールには、引き続き適切なアクセス許可ポリシーを持つIAMアクセス許可を付与する必要があります。アクセスIAM許可ポリシーのないユーザーは、該当する がすべての サービスとすべてのアクションSCPsを許可している場合でも、アクセスできません。

  • ユーザーまたはロールに、該当する でも許可されているアクションへのアクセスを許可するIAMアクセス許可ポリシーがある場合SCPs、ユーザーまたはロールはそのアクションを実行できます。

  • ユーザーまたはロールに、該当する によって許可または明示的に拒否されていないアクションへのアクセスを許可するIAMアクセス許可ポリシーがある場合SCPs、ユーザーまたはロールはそのアクションを実行できません。

  • SCPs は、ルートユーザー を含む、アタッチされたアカウントのすべてのユーザーとロールに影響します。唯一の例外は、「によって制限されていないタスクとエンティティ SCPs」で説明されているものです。

  • SCPs は、サービスにリンクされたロールには影響しません。サービスにリンクされたロールは、他の を有効にします。 AWS のサービス と統合する AWS Organizations および は によって制限できませんSCPs。

  • ルートでSCPポリシータイプを無効にすると、すべての SCPsがすべての から自動的にデタッチされます。 AWS Organizations そのルート内の エンティティ。 AWS Organizations エンティティには、組織単位、組織、アカウントが含まれます。ルートSCPsで を再度有効にすると、そのルートはルート内のすべてのエンティティに自動的にアタッチされたデフォルトのFullAWSAccessポリシーのみに戻ります。から SCPsへの添付ファイル AWS Organizations 以前の SCPs のエンティティは失われ、手動で再アタッチすることはできますが、自動的に復旧することはできません。

  • アクセス許可の境界 (高度なIAM機能) と の両方SCPが存在する場合、境界、SCP、およびアイデンティティベースのポリシーはすべて アクションを許可する必要があります。

アクセスデータを使用した改善 SCPs

管理アカウントの認証情報を使用してサインインすると、 のサービスの最終アクセス時間データを表示できます。 AWS Organizations の エンティティまたはポリシー AWS Organizations IAMコンソールの セクション。を使用することもできます。 AWS Command Line Interface (AWS CLI) または AWS API サービスの最終アクセスデータを取得するIAMには、 の 。このデータには、 のIAMユーザーとロールがどのサービスを許可したかに関する情報が含まれます。 AWS Organizations アカウントが最後にアクセスを試みた日時。この情報を使用して未使用のアクセス許可を識別し、最小特権 の原則に準拠SCPsするように を絞り込むことができます。

例えば、3 つの へのアクセスを禁止する拒否リストSCPがあるとします。 AWS のサービス。 SCPの Denyステートメントにリストされていないすべてのサービスが許可されます。のサービスの最終アクセス時間データからIAM、 AWS のサービス は で許可されますSCPが、使用されることはありません。この情報を使用して、 を更新SCPして、不要なサービスへのアクセスを拒否できます。

詳細については、 IAMユーザーガイドの以下のトピックを参照してください。

によって制限されていないタスクとエンティティ SCPs

SCPs を使用して以下のタスクを制限することはできません

  • 管理アカウントによって実行されるすべてのアクション

  • サービスにリンクされたロールにアタッチされたアクセス許可を使用して実行されるすべてのアクション。

  • root ユーザーとして Enterprise サポートプランに登録する

  • の変更 AWS ルートユーザーとしての サポートレベル

  • CloudFront プライベートコンテンツに信頼できる署名者機能を提供する

  • Amazon Lightsail E メールサーバーと Amazon EC2インスタンスDNSのリバースをルートユーザーとして設定する

  • 一部の のタスク AWS関連サービス:

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • Amazon 製品マーケティング API