サービスコントロールポリシー (SCPs) - AWS Organizations
の影響のテスト SCPsの最大サイズ SCPs組織内のさまざまなレベルSCPsへのアタッチSCP アクセス許可への影響アクセスデータを使用した改善 SCPsによって制限されていないタスクとエンティティ SCPs

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスコントロールポリシー (SCPs)

サービスコントロールポリシー (SCPs) は、組織内のアクセス許可を管理するために使用できる組織ポリシーの一種です。 SCPs は、組織内のIAMユーザーとIAMロールが利用できる最大アクセス許可を一元的に制御します。 は、アカウントが組織のアクセスコントロールガイドラインの範囲内に収まるようにSCPsするのに役立ちます。 SCPsは、すべての機能が有効になっている組織でのみ使用できます。 SCPs は、組織が一括請求機能のみを有効にしている場合は利用できません。SCPs を有効にする方法については、「ポリシータイプの有効化」を参照してください。

SCPs は、組織内のIAMユーザーとIAMロールにアクセス許可を付与しません。によってアクセス許可は付与されませんSCP。は、組織内のIAMユーザーとIAMロールが実行できるアクションに対するアクセス許可ガードレールSCPを定義するか、制限を設定します。アクセス許可を付与するには、管理者はアクセスを制御するポリシーをアタッチする必要があります。たとえば、IAMユーザーとIAMロールにアタッチされたアイデンティティベースのポリシーや、アカウントのリソースにアタッチされたリソースベースのポリシーなどです。詳細については、「 IAMユーザーガイド」の「アイデンティティベースのポリシー」と「リソースベースのポリシー」を参照してください。

有効なアクセス許可は、 SCPとリソースコントロールポリシー (RCPs) で許可されているものと、アイデンティティベースおよびリソースベースのポリシーで許可されているものとの間の論理的な共通部分です。

SCPs 管理アカウントのユーザーまたはロールには影響しない

SCPs は、管理アカウントのユーザーまたはロールには影響しません。SCP は、組織内のメンバーアカウントにのみ影響を与えます。つまり、 は委任管理者として指定されているメンバーアカウントにもSCPs適用されます。

トピック

の影響のテスト SCPs

AWS では、ポリシーがアカウントに与える影響を徹底的にテストすることなく、組織のルートSCPsに をアタッチしないことを強くお勧めします。代わりに、お客様のアカウントを一度に 1 つずつ、または少なくとも少人数ずつ移動できる OU を作成し、誤って主要なサービスからユーザーを締め出すことのないようにします。アカウントでサービスが使用されているかどうかを判断する方法の 1 つは、IAM のサービスの最終アクセスデータを調べます。もう 1 つの方法は、 AWS CloudTrail を使用して API レベルでサービス使用状況をログに記録することです。

注記

FullAWSAccess ポリシーを変更したり、許可されたアクションで別のポリシーに置き換えたりしない限り、F ポリシーを削除しないでください。そうしないと、メンバーアカウントからのすべての AWS アクションが失敗します。

の最大サイズ SCPs

のすべての文字は、最大サイズに対してSCPカウントされます。このガイドの例では、読みやすさを向上させるために、余分な空白でSCPsフォーマットされた を示しています。ただし、ポリシーサイズが上限サイズに近づいている場合は、スペースを節約するために、引用符の外側にあるすべての空白文字 (スペースや改行など) を削除できます。

ヒント

ビジュアルエディタを使用して を構築しますSCP。これによって、よけいな空白が自動的に削除されます。

組織内のさまざまなレベルSCPsへのアタッチ

SCPs の仕組みの詳細については、「」を参照してくださいSCP 評価

SCP アクセス許可への影響

SCPs は AWS Identity and Access Management アクセス許可ポリシーに似ており、ほぼ同じ構文を使用します。ただし、 がアクセス許可を付与SCPすることはありません。代わりに、 SCPsは、組織内のIAMユーザーとIAMロールに使用可能なアクセス許可の最大数を指定するアクセスコントロールです。詳細については、「 IAMユーザーガイド」の「ポリシー評価ロジック」を参照してください。

  • SCPs は、組織の一部であるアカウントによって管理されるIAMユーザーとロールにのみ影響します。 は、リソースベースのポリシーに直接影響SCPsしません。また、組織外のアカウントに属するユーザーやロールにも影響しません。組織内のアカウント A が所有する Amazon S3 バケットについて考えてみます。このバケットポリシー (リソースベースのポリシー) は、組織外のアカウント B に属するユーザーにアクセスを許可します。アカウント A には がSCPアタッチされています。これは、アカウント B の外部ユーザーSCPには適用されません。 SCPは、組織内のアカウント A によって管理されるユーザーにのみ適用されます。

  • は、メンバーアカウントのルートIAMユーザーを含む、メンバーアカウントのユーザーとロールのアクセス許可SCPを制限します。すべてのアカウントには、その上位のすべての親で許可されている権限のみがあります。アクセス許可が、暗黙的 ( Allowポリシーステートメントに含まれない) または明示的に ( Deny ポリシーステートメントに含まれる) アカウントの任意のレベルでブロックされている場合、影響を受けるアカウントのユーザーまたはロールは、アカウント管理者がユーザーに */* アクセス許可を持つAdministratorAccessIAMポリシーをアタッチしても、そのアクセス許可を使用できません。

  • SCPs は、組織内のメンバーアカウントにのみ影響します。管理アカウントのユーザーやロールには影響しません。つまり、 は委任管理者として指定されているメンバーアカウントにもSCPs適用されます。詳細については、「管理アカウントのベストプラクティス」を参照してください。

  • ユーザーとロールに適切な IAM アクセス権限ポリシーでアクセス権限を付与する必要があります。アクセスIAM許可ポリシーのないユーザーは、該当する がすべてのサービスとすべてのアクションSCPsを許可している場合でも、アクセスできません。

  • ユーザーまたはロールに、該当する でも許可されているアクションへのアクセスを許可するIAMアクセス許可ポリシーがある場合SCPs、ユーザーまたはロールはそのアクションを実行できます。

  • ユーザーまたはロールに、該当する によって許可または明示的に拒否されていないアクションへのアクセスを許可するIAMアクセス許可ポリシーがある場合SCPs、ユーザーまたはロールはそのアクションを実行できません。

  • SCPs は、ルートユーザーを含む、アタッチされたアカウントのすべてのユーザーとロールに影響します。唯一の例外は、「によって制限されていないタスクとエンティティ SCPs」で説明されているものです。

  • SCPs は、サービスにリンクされたロールには影響しません。サービスにリンクされたロールにより AWS のサービス 、他の は と統合 AWS Organizations でき、 によって制限することはできませんSCPs。

  • ルートでSCPポリシータイプを無効にすると、そのルート内のすべての AWS Organizations エンティティからすべての SCPsが自動的にデタッチされます。 AWS Organizations エンティティには、組織単位、組織、アカウントが含まれます。ルートSCPsで を再度有効にすると、そのルートはルート内のすべてのエンティティに自動的にアタッチされたデフォルトFullAWSAccessポリシーのみに戻ります。以前の の AWS Organizations エンティティSCPsへの のアタッチメントSCPsは失われ、自動的に回復することはできませんが、手動で再アタッチすることはできます。

  • アクセス許可の境界 (高度なIAM機能) と の両方SCPが存在する場合、境界、SCP、およびアイデンティティベースのポリシーで、すべて アクションを許可する必要があります。

アクセスデータを使用した改善 SCPs

管理アカウントの認証情報を使用してサインインすると、 IAMコンソールの AWS Organizationsセクションで AWS Organizations エンティティまたはポリシーのサービスの最終アクセス時間データを表示できます。( AWS Command Line Interface AWS CLI) または AWS API を で使用IAMして、サービスの最終アクセス時間データを取得することもできます。このデータには、 AWS Organizations アカウントのIAMユーザーとロールが最後にアクセスを試みた許可されたサービスとその日時に関する情報が含まれます。この情報を使用して未使用のアクセス許可を識別し、最小特権の原則により良く準拠SCPsするように を絞り込むことができます。

例えば、3 つの へのアクセスを禁止する拒否リストSCPがあるとします AWS のサービス。SCPの Denyステートメントにリストされていないすべてのサービスが許可されます。のサービスの最終アクセス時間データは、 によって AWS のサービス 許可されているSCPが、使用されていないIAMデータを示します。この情報を使用して、 を更新SCPして、不要なサービスへのアクセスを拒否できます。

詳細については、『IAM ユーザーガイド:』の以下のトピックを参照してください。

によって制限されていないタスクとエンティティ SCPs

SCPs を使用して以下のタスクを制限することはできません

  • 管理アカウントによって実行されるすべてのアクション

  • サービスにリンクされたロールにアタッチされたアクセス許可を使用して実行されるすべてのアクション。

  • root ユーザーとして Enterprise サポートプランに登録する

  • CloudFront プライベートコンテンツに信頼された署名者機能を提供する

  • Amazon Lightsail E メールサーバーと Amazon EC2インスタンスDNSをルートユーザーとしてリバースを設定する

  • 一部の AWS関連サービスのタスク:

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • Amazon 製品マーケティング API