での組織ポリシーのアタッチ AWS Organizations - AWS Organizations
ポリシーをアタッチする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

での組織ポリシーのアタッチ AWS Organizations

このトピックでは、 でポリシーをアタッチする方法について説明します。 AWS Organizations。 ポリシーは、 のグループに適用するコントロールを定義します。 AWS アカウント. AWS Organizations は、管理ポリシーと承認ポリシーをサポートします。

でポリシーをアタッチする AWS Organizations

最小アクセス許可

ポリシーをアタッチするには、次のアクションを実行するアクセス許可が必要です。

  • organizations:AttachPolicy

最小アクセス許可

SCP をルート、OU、またはアカウントにアタッチするには、次のアクションを実行するアクセス許可が必要です。

  • organizations:AttachPolicy 指定したポリシーの「*」または Amazon リソースネーム (ARN) と、ポリシーをアタッチするARNルート、OU、またはアカウントの を含む同じポリシーステートメント内のResource要素を持つ 。

Backup policies

バックアップポリシーのアタッチには、ポリシーに移動する方法と、ポリシーをアタッチするルート、OU、またはアカウントに移動する方法があります。

ルート、OU、またはアカウントに移動してバックアップポリシーをアタッチするには

  1. にサインインします。AWS Organizations コンソール 。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザーとしてサインインする必要があります (推奨されません)。

  2. リポジトリの []AWS アカウント ページに移動し、ポリシーをアタッチするルート、OU、またはアカウントの名前を選択します。必要な OU またはアカウントを見つけるには、 を展開 OUs ( を選択 Gray cloud icon representing cloud computing or storage services. ) する必要がある場合があります。

  3. [Policies] (ポリシー) タブの [Backup policies] (バックアップポリシー) の項目で、[Attach] (アタッチ) を選択します。

  4. 目的のポリシーを見つけて [Attach policy] (ポリシーのアタッチ) を選択します。

    [Policies] (ポリシー) タブで、アタッチされているバックアップポリシーの一覧が更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに反映されます。

ポリシーに移動してバックアップポリシーをアタッチするには

  1. にサインインします。AWS Organizations コンソール 。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザーとしてサインインする必要があります ( は推奨されません)。

  2. バックアップポリシーページで、アタッチするポリシーの名前を選択します。

  3. [Targets] (ターゲット) タブで [Attach] (アタッチ) を選択します。

  4. ポリシーをアタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。必要な OU またはアカウントを見つけるには、 を展開 OUs ( を選択 Gray cloud icon representing cloud computing or storage services. ) する必要がある場合があります。

  5. Attach policy] (ポリシーのアタッチ) を選択します。

    [Targets] (ターゲット) タブで、アタッチされているバックアップポリシーの一覧が更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに反映されます。

Tag policies

タグポリシーをアタッチするには、ポリシーをアタッチするルート、OU、またはアカウントに移動します。

ルート、OU、またはアカウントに移動してタグポリシーをアタッチするには

  1. にサインインします。AWS Organizations コンソール 。ユーザーとしてサインインするかIAM、 IAMロールを引き受けるか、組織の管理アカウントのルートユーザーとしてサインインする必要があります ( は推奨されません)。

  2. リポジトリの []AWS アカウント ページに移動し、ポリシーをアタッチするルート、OU、またはアカウントの名前を選択します。必要な OU またはアカウントを見つけるには、 を展開 OUs ( を選択 Gray cloud icon representing cloud computing or storage services. ) する必要がある場合があります。

  3. [Policies] (ポリシー) タブの [Tag policies] (タグポリシー) で、[Attach] (アタッチ) を選択します。

  4. 目的のポリシーを見つけて [Attach policy] (ポリシーのアタッチ) を選択します。

    [Policies] (ポリシー) タブで、アタッチされているタグポリシーのリストが更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに反映されます。

ポリシーに移動してタグポリシーをアタッチするには

  1. にサインインします。AWS Organizations コンソール 。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザーとしてサインインする必要があります ( は推奨されません)。

  2. タグポリシーページで、アタッチするポリシーの名前を選択します。

  3. [Targets] (ターゲット) タブで [Attach] (アタッチ) を選択します。

  4. ポリシーをアタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。必要な OU またはアカウントを見つけるには、 を展開 OUs ( を選択 Gray cloud icon representing cloud computing or storage services. ) する必要がある場合があります。

  5. Attach policy] (ポリシーのアタッチ) を選択します。

    [Targets] (ターゲット) タブで、アタッチされているタグポリシーのリストが更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに反映されます。

AI services opt-out policies

AI サービスのオプトアウトポリシーのアタッチには、ポリシーに移動する方法と、ポリシーをアタッチするルート、OU、またはアカウントに移動する方法があります。

ルート、OU、またはアカウントに移動して AI サービスのオプトアウトポリシーをアタッチするには

  1. にサインインします。AWS Organizations コンソール 。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザーとしてサインインする必要があります ( は推奨されません)。

  2. リポジトリの []AWS アカウント ページに移動し、ポリシーをアタッチするルート、OU、またはアカウントの名前を選択します。必要な OU またはアカウントを見つけるには、 を展開 OUs ( を選択 Gray cloud icon representing cloud computing or storage services. ) する必要がある場合があります。

  3. [Policies] (ポリシー) タブの [AI service opt-out policies] (AI サービスのオプトアウトポリシー) の項目で、[Attach] (アタッチ) を選択します。

  4. 目的のポリシーを見つけて [Attach policy] (ポリシーのアタッチ) を選択します。

    [Policies] (ポリシー) タブで、アタッチされている AI サービスのオプトアウトポリシーの一覧が更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに反映されます。

ポリシーに移動して AI サービスのオプトアウトポリシーをアタッチするには

  1. にサインインします。AWS Organizations コンソール 。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザーとしてサインインする必要があります (推奨されません)。

  2. AI サービスのオプトアウトポリシーページで、アタッチするポリシーの名前を選択します。

  3. [Targets] (ターゲット) タブで [Attach] (アタッチ) を選択します。

  4. ポリシーをアタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。必要な OU またはアカウントを見つけるには、 を展開 OUs ( を選択 Gray cloud icon representing cloud computing or storage services. ) する必要がある場合があります。

  5. Attach policy] (ポリシーのアタッチ) を選択します。

    [Targets] (ターゲット) タブで、アタッチされている AI サービスのオプトアウトポリシーの一覧が更新され、新たに追加したものが表示されます。ポリシーの変更はすぐに反映されます。

Service control policies (SCPs)

をアタッチするには、ポリシーに移動するSCPか、ポリシーをアタッチするルート、OU、またはアカウントに移動します。

ルート、OU、またはアカウントに移動SCPして をアタッチするには

  1. にサインインします。AWS Organizations コンソール 。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザーとしてサインインする必要があります (推奨されません)。

  2. リポジトリの []AWS アカウント ページに移動し、 をアタッチするルート、OU、またはアカウントの横にあるチェックボックスをオンにしますSCP。必要な OU またはアカウントを見つけるには、 を展開 OUs ( を選択 Gray cloud icon representing cloud computing or storage services. ) する必要がある場合があります。

  3. [Policies] (ポリシー) タブの [Service control policies] (サービスコントロールポリシー) で、[Attach] (アタッチ) を選択します。

  4. 目的のポリシーを見つけて [Attach policy] (ポリシーのアタッチ) を選択します。

    ポリシータブSCPsにアタッチされている のリストが更新され、新しい追加が追加されました。ポリシーの変更はすぐに有効になり、アタッチされたアカウントのIAMユーザーとロール、またはアタッチされたルートまたは OU のすべてのアカウントのアクセス許可に影響します。

ポリシーに移動SCPして をアタッチするには

  1. にサインインします。AWS Organizations コンソール 。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザー (推奨されません) としてサインインする必要があります。

  2. サービスコントロールポリシーページで、アタッチするポリシーの名前を選択します。

  3. [Targets] (ターゲット) タブで [Attach] (アタッチ) を選択します。

  4. ポリシーをアタッチするルート、OU、またはアカウントの横にあるラジオボタンをクリックします。必要な OU またはアカウントを見つけるには、 を展開 OUs ( を選択 Gray cloud icon representing cloud computing or storage services. ) する必要がある場合があります。

  5. Attach policy] (ポリシーのアタッチ) を選択します。

    ターゲットタブSCPsにアタッチされている のリストが更新され、新しい追加が追加されました。ポリシーの変更はすぐに有効になり、アタッチされたアカウントのIAMユーザーとロール、またはアタッチされたルートまたは OU のすべてのアカウントのアクセス許可に影響します。

ポリシーの変更はすぐに有効になり、アタッチされたアカウントのIAMユーザーとロール、またはアタッチされたルートまたは OU のすべてのアカウントのアクセス許可に影響します。

ポリシーをアタッチするには

以下のコード例は、AttachPolicy の使用方法を示しています。

.NET
AWS SDK for .NET
注記

については、「」を参照してください GitHub。完全な例を検索し、 でセットアップして実行する方法を学びます。 AWS コード例リポジトリ 

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to attach an AWS Organizations policy to an organization,
    /// an organizational unit, or an account.
    /// </summary>
    public class AttachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then calls the
        /// AttachPolicyAsync method to attach the policy to the root
        /// organization.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new AttachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.AttachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}.");
            }
            else
            {
                Console.WriteLine("Was not successful in attaching the policy.");
            }
        }
    }

  • API 詳細については、AttachPolicy「」の「」を参照してください 。AWS SDK for .NET API リファレンス

CLI
AWS CLI

root、OU、またはアカウントにポリシーをアタッチするには

例 1

次の例は、サービスコントロールポリシー (SCP) を OU にアタッチする方法を示しています。

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id ou-examplerootid111-exampleouid111

例 2

次の例は、サービスコントロールポリシーをアカウントに直接アタッチする方法を示しています。

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id 333333333333

  • API 詳細については、AttachPolicy「」の「」を参照してください 。AWS CLI コマンドリファレンス

Python
SDK for Python (Boto3)
注記

については、「」を参照してください GitHub。完全な例を検索し、 でセットアップして実行する方法を学びます。 AWS コード例リポジトリ 

def attach_policy(policy_id, target_id, orgs_client):
    """
    Attaches a policy to a target. The target is an organization root, account, or
    organizational unit.

    :param policy_id: The ID of the policy to attach.
    :param target_id: The ID of the resources to attach the policy to.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Attached policy %s to target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't attach policy %s to target %s.", policy_id, target_id
        )
        raise

  • API 詳細については、AttachPolicy「」の「」を参照してください 。AWS SDK for Python (Boto3) APIリファレンス

ポリシーの変更はすぐに有効になり、アタッチされたアカウントのIAMユーザーとロール、またはアタッチされたルートまたは OU のすべてのアカウントのアクセス許可に影響します。