組織へのアクセス許可の管理 - AWS Organizations
AWS Organizations リソースとオペレーションリソース所有権についてリソースへのアクセスの管理ポリシー要素の指定: アクション、条件、効果、リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織へのアクセス許可の管理

組織内のルート、、OUsアカウント、ポリシーを含むすべての AWS リソースは によって所有され AWS アカウント、リソースを作成またはアクセスするためのアクセス許可はアクセス許可ポリシーによって管理されます。組織では、管理アカウントはすべてのリソースを所有します。アカウント管理者は、アクセス許可ポリシーを ID (ユーザー、グループ、ロール) IAM にアタッチすることで、 AWS リソースへのアクセスを制御できます。

注記

アカウント管理者 (または管理者ユーザー) は、管理者アクセス許可を持つユーザーです。詳細については、「 ユーザーガイド」の「 のセキュリティのベストプラクティスIAMIAM」を参照してください。

アクセス許可を付与する場合、アクセス許可を取得するユーザー、取得するアクセス許可の対象となるリソース、およびそれらのリソースに対して許可される特定のアクションを決定します。

デフォルトでは、IAMユーザー、グループ、ロールにはアクセス許可がありません。組織の管理アカウントの管理者は、管理タスクを実行したり、管理アカウントの他のユーザーIAMやロールに管理者権限を委任したりできます。これを行うには、IAMユーザー、グループ、またはロールにアクセスIAM許可ポリシーをアタッチします。デフォルトでは、ユーザーにこれらを行う権限はありません。これは、暗黙的な拒否と呼ばれます。このポリシーによって、暗黙的な拒否は、ユーザーが実行するアクションや、アクションを実行できるリソースを指定する明示的な許可に上書きされます。ロールにアクセス許可が付与されている場合は、組織内の他のアカウントのユーザーはそのロールを引き受けることができます。

AWS Organizations リソースとオペレーション

このセクションでは、 AWS Organizations 概念が IAMと同等の概念にどのようにマッピングされるかについて説明します。

リソース

では AWS Organizations、次のリソースへのアクセスを制御できます。

  • 組織の階層構造OUsを構成するルートと

  • 組織のメンバーであるアカウント

  • 組織のエンティティにアタッチするポリシー

  • 組織の状態の変更に使用するハンドシェイク

これらの各リソースには、一意の Amazon リソースネーム (ARN) が関連付けられています。リソースへのアクセスを制御するには、 アクセスIAM許可ポリシーの Resource要素ARNでリソースを指定します。で使用されるリソースのARN形式の詳細なリストについては AWS Organizations、「サービス認証リファレンス」の「 で定義されるリソースタイプ AWS Organizations」を参照してください。

オペレーション

AWS は、組織内のリソースを操作するための一連のオペレーションを提供します。そのため、リソースの作成、一覧表示、変更、内容へのアクセス、削除などを行うことができます。ほとんどのオペレーションは、 IAMポリシーの Action要素で参照して、そのオペレーションを使用できるユーザーを制御できます。IAM ポリシーのアクセス許可として使用できる AWS Organizations オペレーションのリストについては、「サービス認証リファレンス」の「組織で定義されるアクション」を参照してください。

ActionResource を 1 つのアクセス許可ポリシー Statement で組み合わせると、特定のアクションを使用できるリソースが正確に制御されます。

条件キー

AWS には、特定のアクションをより詳細に制御するためにクエリできる条件キーが用意されています。IAM ポリシーの Condition要素でこれらの条件キーを参照して、ステートメントが一致と見なされるために満たす必要がある追加の状況を指定できます。

以下の条件キーは、 で特に便利です AWS Organizations。

  • aws:PrincipalOrgID - リソースベースのポリシーの Principal 要素の指定を簡素化します。このグローバルキーは、組織 AWS アカウント 内のすべての IDs のすべてのアカウントを一覧表示する代替手段を提供します。組織のメンバーであるすべてのアカウントを一覧表示せずに、Condition 要素に組織 ID を指定することができます。

    注記

    このグローバル条件は、組織の管理アカウントにも適用されます。

    詳細については、「 ユーザーガイドPrincipalOrgID」のAWS 「 グローバル条件コンテキストキーでの の説明IAM」を参照してください。

  • aws:PrincipalOrgPaths - この条件キーを使用して、特定の組織ルート、OU、またはその子のメンバーを照合します。リクエストを行うプリンシパル (ルートユーザー、IAMユーザー、またはロール) が指定された組織パスにある場合、aws:PrincipalOrgPaths条件キーは true を返します。パスは、 AWS Organizations エンティティの構造のテキスト表現です。パスの詳細については、「 IAMユーザーガイド」の AWS Organizations 「エンティティパスを理解する」を参照してください。この条件キーの使用の詳細については、 IAMユーザーガイド「aws:PrincipalOrgPaths」を参照してください。

    例えば、次の条件要素は、同じ組織OUs内の 2 つの のいずれかのメンバーと一致します。

                "Condition": {
                "ForAnyValue:StringLike": {
                    "aws:PrincipalOrgPaths": [
                        "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
                        "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/"
                    ]
                }
            }

  • organizations:PolicyType – この条件キーを使用して、Organizations ポリシー関連のAPIオペレーションを、指定されたタイプの Organizations ポリシーでのみ機能するように制限できます。この条件キーは、Organizations ポリシーとやり取りするアクションを含むポリシーステートメントに適用できます。

    この条件キーでは、次の値を使用できます。

    • AISERVICES_OPT_OUT_POLICY

    • BACKUP_POLICY

    • SERVICE_CONTROL_POLICY

    • TAG_POLICY

    例えば、次のポリシー例では、ユーザーが任意の Organizations オペレーションを実行できます。ただし、ポリシー引数を取るオペレーションをユーザーが実行した場合、指定したポリシーがタグ付けポリシーである場合にのみオペレーションが許可されます。ユーザーが他のタイプのポリシーを指定した場合、オペレーションは失敗します。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "IfTaggingAPIThenAllowOnOnlyTaggingPolicies",
            "Effect": "Allow",
            "Action": "organizations:*",
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:PolicyType": [ "TAG_POLICY" ]
                }
            }
        }
    ]
}

  • organizations:ServicePrincipalE nableAWSServiceAccess または D isableAWSServiceAccess オペレーションを使用して、他の AWS のサービスへの信頼されたアクセスを有効または無効にする場合の条件として使用できます。organizations:ServicePrincipal を使用して、これらのオペレーションからのリクエストを、承認されたサービスプリンシパル名のリストに制限できます。

    例えば、次のポリシーでは、 で信頼されたアクセスを有効または無効に AWS Firewall Manager する場合にのみ、 を指定できます AWS Organizations。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowOnlyAWSFirewallIntegration",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:ServicePrincipal": [ "fms.amazonaws.com" ]
                }
            }
        }
    ]
}

IAM ポリシーのアクセス許可として使用できる AWS Organizations固有の条件キーのリストについては、「サービス認証リファレンス」の「 の条件キー AWS Organizations」を参照してください。

リソース所有権について

は、リソースを作成したユーザーに関係なく、アカウントで作成されたリソース AWS アカウント を所有します。具体的には、リソース所有者は、リソース作成リクエストを認証する AWS アカウント プリンシパルエンティティ (ルートユーザー、 IAM ユーザー、または IAMロール) の です。組織の場合、これは常に管理アカウントです。組織のリソースの作成またはアクセスを行うほとんどのオペレーションは、メンバーアカウントから呼び出すことができません。次の例は、この仕組みを示しています。

  • 管理アカウントのルートアカウントの認証情報を使用して OU を作成する場合の管理アカウントは、リソースの所有者です。( では AWS Organizations、リソースは OU です。)

  • 管理アカウントにIAMユーザーを作成し、そのユーザーに OU を作成するアクセス許可を付与すると、そのユーザーは OU を作成できます。ただし、OU リソースを所有しているのは、このユーザーが属する管理アカウントです。

  • 管理アカウントに OU を作成するアクセス許可を持つ IAMロールを作成すると、ロールを引き受けることのできるいずれのユーザーも OU を作成できます。OU リソースを所有するのは、ロール (引き受けるユーザーではない) が属する管理アカウントです。

リソースへのアクセスの管理

アクセス権限ポリシー では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。

注記

このセクションでは、 のコンテキストIAMでの の使用について説明します AWS Organizations。IAM サービスに関する詳細情報は提供されません。詳細なIAMドキュメントについては、「 ユーザーガイドIAM」を参照してください。IAM ポリシーの構文と説明については、「 ユーザーガイド」の「 IAMJSONポリシーリファレンスIAM」を参照してください。

IAM ID にアタッチされたポリシーは、アイデンティティベースのポリシー ( ポリシー) と呼ばれます。IAMリソースにアタッチされたポリシーは、リソースベースのポリシーと呼ばれます。 は、アイデンティティベースのポリシー (IAM ポリシー) のみ AWS Organizations をサポートします。

ID ベースのアクセス許可ポリシー (IAM ポリシー)

IAM ID にポリシーをアタッチして、それらの ID が AWS リソースに対してオペレーションを実行することを許可できます。例えば、次のオペレーションを実行できます。

  • アカウントのユーザーまたはグループに許可ポリシーをアタッチする – サービスコントロールポリシー (SCP) や OU などの AWS Organizations リソースを作成する許可をユーザーに付与するには、許可ポリシーをユーザーまたはユーザーが属するグループにアタッチできます。ユーザーまたはグループを組織の管理アカウントにする必要があります。

  • アクセス許可ポリシーをロールにアタッチする (クロスアカウントアクセス許可を付与する) – アイデンティティベースのアクセス許可ポリシーを IAMロールにアタッチして、クロスアカウントアクセスを組織に付与できます。例えば、管理アカウントの管理者はロールを作成し、次のようにクロスアカウントのアクセス許可をメンバーアカウントのユーザーに付与できます。

    1. 管理アカウントの管理者は、 IAMロールを作成し、組織のリソースにアクセス許可を付与するアクセス許可ポリシーをロールにアタッチします。

    2. 管理アカウントの管理者は、そのロールを引き受ける Principal として、メンバーアカウントの ID を識別するロールに信頼ポリシーをアタッチします。

    3. その後、メンバーアカウント管理者は、ロールを引き受けるアクセス権限をメンバーアカウントのユーザーに委任できます。これにより、メンバーアカウントのユーザーは、管理アカウントや組織のリソースを作成し、アクセスできるようになります。ロールを引き受けるアクセス許可を AWS サービスに付与する場合は、信頼ポリシーのプリンシパルを AWS サービスプリンシパルにすることもできます。

    を使用してアクセス許可IAMを委任する方法の詳細については、「 ユーザーガイド」の「アクセス管理IAM」を参照してください。

以下に示しているのは、組織の CreateAccount アクションの実行をユーザーに許可するポリシーの例です。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"Stmt1OrgPermissions",
         "Effect":"Allow",
         "Action":[
            "organizations:CreateAccount"
         ],
         "Resource":"*"
      }
   ]
}

ポリシーの Resource要素ARNに部分を指定して、リソースのタイプを示すこともできます。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowCreatingAccountsOnResource",
         "Effect":"Allow",
         "Action":"organizations:CreateAccount",
         "Resource":"arn:aws:organizations::*:account/*"
      }
   ]
}

作成するアカウントに特定のタグを含まないアカウントの作成を拒否することもできます。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"DenyCreatingAccountsOnResourceBasedOnTag",
         "Effect":"Deny",
         "Action":"organizations:CreateAccount",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/key":"value"
            }
         }
      }
   ]
}

ユーザー、グループ、ロール、アクセス許可の詳細については、「 IAMユーザーガイドIAM」の「 ID (ユーザー、ユーザーグループ、ロール)」を参照してください。

リソースベースのポリシー

Amazon S3 などの一部のサービスでは、リソースベースのアクセス許可ポリシーもサポートされています。例えば、Amazon S3 バケットにポリシーをアタッチして、そのバケットへのアクセス許可を管理できます。 AWS Organizations は現在、リソースベースのポリシーをサポートしていません。

ポリシー要素の指定: アクション、条件、効果、リソース

サービスは、 AWS Organizations リソースごとに、そのリソースと何らかの方法でやり取りまたは操作できる一連のAPIオペレーションまたはアクションを定義します。これらのオペレーションのアクセス許可を付与するために、 はポリシーで指定できる一連のアクション AWS Organizations を定義します。例えば、OU リソースの場合、 は次のようなアクション AWS Organizations を定義します。

  • AttachPolicy および DetachPolicy

  • CreateOrganizationalUnit および DeleteOrganizationalUnit

  • ListOrganizationalUnits および DescribeOrganizationalUnit

場合によっては、APIオペレーションの実行に複数のアクションに対するアクセス許可が必要になり、複数のリソースに対するアクセス許可が必要になることがあります。

アクセスIAM許可ポリシーで使用できる最も基本的な要素は次のとおりです。

  • Action - このキーワードを使用して、許可または拒否するオペレーション (アクション) を識別します。例えば、指定された に応じてEffect、 は CreateAccountオペレーションを実行するためのユーザーアクセス許可organizations:CreateAccountを許可または拒否します AWS Organizations 。詳細については、「 ユーザーガイド」のIAMJSON「ポリシー要素: アクションIAM」を参照してください。

  • リソース – このキーワードを使用して、ポリシーステートメントが適用されるリソースARNの を指定します。詳細については、「 ユーザーガイド」のIAMJSON「ポリシー要素: リソースIAM」を参照してください。

  • Condition - ポリシーステートメントを満たす必要がある条件を指定するために、このキーワードを使用します。Condition は通常、ポリシーが一致するために満たす必要がある追加条件を指定します。詳細については、「 ユーザーガイド」のIAMJSON「ポリシー要素: 条件IAM」を参照してください。

  • Effect - このキーワードを使用して、ポリシー構文でリソースのアクションを許可または拒否するかどうかを指定します。リソースへのアクセス権を明示的に付与 (または許可) していない場合、アクセスは暗黙的に拒否されます。また、リソースへのアクセスを明示的に拒否することもできます。これにより、別のポリシーによってアクセスが許可されていても、ユーザーは、指定のリソースで指定のアクションを実行できないことがあります。詳細については、「 ユーザーガイド」のIAMJSON「ポリシー要素: 効果IAM」を参照してください。

  • プリンシパル – アイデンティティベースのポリシー (IAM ポリシー) では、ポリシーがアタッチされているユーザーは、プリンシパルを自動的に暗黙的に行います。リソースベースのポリシーでは、アクセス許可を受け取るユーザー、アカウント、サービス、またはその他のエンティティを指定します (リソースベースのポリシーのみに適用)。 AWS Organizations は現在、リソースベースのポリシーではなく、アイデンティティベースのポリシーのみをサポートしています。

IAM ポリシーの構文と説明の詳細については、「 ユーザーガイド」の「 IAMJSONポリシーリファレンスIAM」を参照してください。