を使用した組織ポリシーの作成 AWS Organizations - AWS Organizations
サービスコントロールポリシーを作成する (SCP)バックアップポリシーを作成するタグポリシーを作成するチャットボットポリシーを作成するAI サービスのオプトアウトポリシーを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用した組織ポリシーの作成 AWS Organizations

組織のポリシーを有効にしたら、ポリシーを作成できます。

このトピックでは、 でポリシーを作成する方法について説明します AWS Organizations。ポリシーは、 のグループに適用するコントロールを定義します AWS アカウント。 は管理ポリシーと承認ポリシー AWS Organizations をサポートします。

サービスコントロールポリシーを作成する (SCP)

最小アクセス許可

を作成するにはSCPs、次のアクションを実行するためのアクセス許可が必要です。

  • organizations:CreatePolicy

AWS Management Console
サービスコントロールポリシーを作成するには

  1. AWS Organizations コンソール にサインインします。ユーザーとしてサインインするかIAM、IAMロールを引き受けるか、組織の管理アカウントのルートユーザー (推奨されません) としてサインインする必要があります。

  2. サービスコントロールポリシーページで、[Create policy] (ポリシーの作成) を選択します。

  3. [Create new service control policy] (新しいサービスコントロールポリシーの作成) ページで、[Policy name] (ポリシー名) とオプションの [Policy description] (ポリシーの説明) に入力します。

  4. (オプション) [Add tag] (タグの追加) を選択してキーとオプションの値を入力し、1 つ以上のタグを追加します。値を空白のままにすると、空の文字列が設定され、null にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「AWS Organizations リソースのタグ付け」を参照してください。

    注記

    以下の手順のほとんどでは、JSONエディタの右側にあるコントロールを使用して、 要素ごとにポリシーを構築する方法について説明します。または、ウィンドウの左側にあるJSONエディタにテキストを入力するだけで、いつでも入力できます。直接入力することも、コピーアンドペーストを使用することもできます。

  5. ポリシーを構築するための次のステップは、アクセスを拒否または許可するステートメントを追加するかどうかに応じて異なります。詳細については、「SCP 評価」を参照してください。Deny ステートメントを使用する場合、特定のリソースへのアクセスを制限し、いつ有効SCPsになるかの条件を定義し、 NotAction要素を使用するため、追加のコントロールがあります。構文の詳細については、「SCP 構文」を参照してください。

    アクセスを拒否するステートメントを追加するには

    1. エディタの右側の Edit ステートメントペインで、アクションの追加 で AWS サービスを選択します。

      右側のオプションを選択すると、JSONエディタが更新され、対応するJSONポリシーが左側に表示されます。

    2. サービスを選択すると、そのサービスで使用可能なアクションが記載されたリストが開きます。[All actions] (すべてのアクション) または、拒否する 1 つ以上の個別のアクションを選択します。

      JSON 左側の は、選択したアクションを含むように更新されます。

      注記

      個々のアクションを選択し、戻ってすべてのアクション も選択すると、 の想定エントリservicename/*が に追加されますがJSON、以前に選択した個々のアクションは に残りJSON、削除されません。

    3. 追加のサービスからアクションを追加したい場合は、[Statement] (ステートメント) ボックスの上部にある [All services] (すべてのサービス) を選択し、必要に応じて前の 2 つのステップを繰り返します。

    4. ステートメントに含めるリソースを指定します。

      • [リソースの追加] の横にある [追加] を選択します。

      • [Add a resource] (リソースの追加) ダイアログで、リソースを制御するサービスをリストから選択します。前のステップで選択したサービスからのみ選択できます。

      • [Resource type] (リソースタイプ) で、制御するリソースのタイプを選択します。

      • 最後に、Resource ARN の Amazon リソースネーム (ARN) を入力して、アクセスを制御する特定のリソースを特定します。中括弧 {} で囲まれたすべてのプレースホルダーを置き換える必要があります。そのリソースタイプのARN構文で許可されるワイルドカード (*) を指定できます。ワイルドカードを使用できる場所については、特定のリソースタイプに関するドキュメントを参照してください。

      • [Add a resource] (リソースの追加) を選択して、ポリシーへの追加を保存します。の Resource要素は、追加または変更JSONを反映します。[Resource] (リソース) 要素が必要です。

      ヒント

      選択したサービスのすべてのリソースを指定する場合は、リストですべてのリソースオプションを選択するか、 でResourceステートメントを直接編集JSONして を読みます"Resource":"*"

    5. (オプション) ポリシーステートメントが有効なときに制限する条件を指定するには、[条件を追加] の横にある [追加] を選択します。

      • 条件キー – リストから、すべての AWS サービスで使用できる任意の条件キー (例: aws:SourceIp) または、このステートメントで選択した 1 つのサービスのみのサービス固有のキーを選択できます。

      • 限定条件 - (オプション) 条件に複数の値を入力する場合 (指定した条件キーに応じて)、値に対するリクエストをテストする限定条件を指定できます。

        • デフォルト値 — ポリシーの条件キーバリューに対する、リクエスト内の単一の値をテストします。リクエスト値がポリシーの値と一致する場合、条件は true を返します。ポリシーで複数の値を指定した場合、それらは「or」のテストとして扱われ、リクエスト値がポリシーの値のいずれかに一致すると、条件は true を返します。

        • リクエスト内の任意の値 — リクエストに複数の値を含めることができる場合、このオプションでは、リクエスト値の少なくとも 1 つが、ポリシーの少なくとも 1 つの条件キーバリューと一致するかどうかをテストします。リクエスト内のキーバリューのいずれかがポリシーの条件値のいずれかと一致する場合に true が返されます。一致するキーまたは空のデータセットがない場合、条件は false を返します。

        • リクエスト内のすべての値 - リクエストに複数の値を含めることができる場合、このオプションは、すべてのリクエスト値がポリシーの条件キーバリューと一致するかどうかをテストします。リクエストのすべてのキーバリューがポリシーの 1 つ以上の値と一致する場合、条件は true を返します。また、リクエストにキーがない場合、またはキーバリューが空の文字列などの null データセットに解決される場合は true を返します。

      • 演算子演算子は、比較するタイプを指定します。表示されるオプションは、条件キーのデータ型によって異なります。例えば、aws:CurrentTime グローバル条件キーを使用すると、任意の日付比較演算子または Null から選択でき、それを使用してリクエスト内に値が存在するかどうかをテストできます。

        Null テスト以外の条件演算子では、 IfExistsオプションを選択できます。

      • — (オプション) リクエストをテストする 1 つ以上の値を指定します。

      [条件を追加] を選択します。

      条件キーの詳細については、「 ユーザーガイド」のIAMJSON「ポリシー要素: 条件」を参照してください。 IAM

    6. (オプション) NotAction 要素を使用して、指定したアクションを除くすべてのアクションへのアクセスを拒否するには、左側のペインにある ActionNotAction 要素の直後に表示される "Effect": "Deny", で置き換えます。詳細については、「 ユーザーガイド」のIAMJSON「ポリシー要素: NotAction」を参照してください。 IAM

  6. アクセスを許可するステートメントを追加するには

    1. 左側のJSONエディタで、行を "Effect": "Deny" に変更します"Effect": "Allow"

      右側のオプションを選択すると、JSONエディタが更新され、対応するJSONポリシーが左側に表示されます。

    2. サービスを選択すると、そのサービスで使用可能なアクションが記載されたリストが開きます。[All actions] (すべてのアクション) または、許可する 1 つ以上のアクションを個別に選択できます。

      JSON 左側の は、選択したアクションを含むように更新されます。

      注記

      個々のアクションを選択し、戻ってすべてのアクション も選択すると、 の想定エントリservicename/*が に追加されますがJSON、以前に選択した個々のアクションは に残りJSON、削除されません。

    3. 追加のサービスからアクションを追加したい場合は、[Statement] (ステートメント) ボックスの上部にある [All services] (すべてのサービス) を選択し、必要に応じて前の 2 つのステップを繰り返します。

  7. (オプション) ポリシーに別のステートメントを追加するには、[Add statement] (ステートメントを追加) を選択し、ビジュアルエディタを使用して次のステートメントを構築します。

  8. ステートメントの追加が完了したら、ポリシーの作成を選択して、完了した を保存しますSCP。

新しい SCPは、組織のポリシーのリストに表示されます。SCP をルート、、OUsまたは アカウントにアタッチできるようになりました。

AWS CLI & AWS SDKs
サービスコントロールポリシーを作成するには

次のいずれかのコマンドを使用して、 を作成できますSCP。

  • AWS CLI: create-policy

    次の例では、JSONポリシーテキストDeny-IAM.jsonを含む という名前のファイルがあることを前提としています。このファイルを使用して、新しいサービスコントロールポリシーを作成します。

    $ aws organizations create-policy \
    --content file://Deny-IAM.json \
    --description "Deny all IAM actions" \
    --name DenyIAMSCP \
    --type SERVICE_CONTROL_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
            "Name": "DenyIAMSCP",
            "Description": "Deny all IAM actions",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": false
        },
         "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
    }
}

  • AWS SDKs: CreatePolicy
注記

SCPs は、管理アカウントやその他の状況では有効になりません。詳細については、「によって制限されていないタスクとエンティティ SCPs」を参照してください。

バックアップポリシーを作成する

最小アクセス許可

バックアップポリシーを作成するには、次のアクションを実行するアクセス許可が必要です。

  • organizations:CreatePolicy

AWS Management Console

バックアップポリシーは、次のいずれか AWS Management Console の方法で で作成できます。

  • オプションを選択し、JSONポリシーテキストを生成できるビジュアルエディタ。

  • JSON ポリシーテキストを自分で直接作成できるテキストエディタ。

ビジュアルエディタを使用すると、プロセスが簡単になりますが、柔軟性は制限されます。これは、最初のポリシーを作成し、使用に慣れるのに最適な方法です。それらがどのように機能するかを理解し、ビジュアルエディタが提供する内容によって制限され始めたら、ポリシーテキストを自分で編集することでJSON、ポリシーに高度な機能を追加できます。ビジュアルエディタは、@@assign 値設定演算子のみを使用し、子制御演算子へのアクセスは提供しません。JSON ポリシーテキストを手動で編集する場合にのみ、子コントロール演算子を追加できます。

バックアップポリシーを作成するには

  1. AWS Organizations コンソール にサインインします。ユーザーとしてサインインするかIAM、IAMロールを引き受けるか、組織の管理アカウントのルートユーザー (推奨されません) としてサインインする必要があります。

  2. バックアップポリシーページで、[Create policy] (ポリシーの作成) を選択します。

  3. [Create policy] (ポリシーの作成) ページで、ポリシー名と、オプションでポリシーの説明を入力します。

  4. (オプション) [Add tag] (タグの追加) を選択してキーとオプションの値を入力することで、ポリシーに 1 つ以上のタグを追加できます。値を空白のままにすると、空の文字列が設定され、null にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。タグ付けの詳細については、「AWS Organizations リソースのタグ付け」を参照してください。

  5. この手順で説明するように、[ビジュアルエディタ] を使用してポリシーを構築できます。JSON タブにポリシーテキストを入力または貼り付けることもできます。バックアップポリシーの構文については、バックアップポリシーの構文と例 を参照してください。

    [ビジュアルエディタ] を使用する場合は、シナリオに適したバックアップオプションを選択します。バックアッププランは 3 つの部分で構成されます。こうしたバックアッププランの要素について詳しくは、AWS Backup デベロッパーガイドのバックアッププランの作成、およびリソースの割り当てを参照してください。

    1. バックアッププランの全般的な説明

      • [バックアッププラン名] には、英数字、ハイフン、下線のみを使用できます。

      • リストから少なくとも 1 つの [バックアッププランリージョン] を選択する必要があります。プランは、選択した でのみリソースをバックアップできます AWS リージョン。

    2. AWS Backup の動作方法とタイミングを指定する 1 つ以上のバックアップルール。各バックアップルールは、次の項目を定義します。

      • バックアップの頻度、およびバックアップを実行できるタイムウィンドウを含むスケジュール。

      • 使用するバックアップボールトの名前。[バックアップボールト名] は、英数字、ハイフン、下線のみで構成できます。プランを正常に実行するには、バックアップボールトが存在している必要があります。 AWS Backup コンソールまたは AWS CLI コマンドを使用してボールトを作成します。

      • (オプション) 1 つ以上のリージョンにコピールールで、バックアップを他の AWS リージョンのボールトにもコピーします。

      • このバックアッププランを実行するたびに作成されるバックアップリカバリポイントに関連付ける 1 つ以上のタグキーと値のペア。

      • バックアップがコールドストレージに移行するタイミングとバックアップの期限を指定するライフサイクルオプション。

      [Add rule] (ルールの追加) を選択し、必要な各ルールをプランに追加します。

      バックアップルールの詳細については、AWS Backup デベロッパーガイドバックアップルールを参照してください。

    3. このプランで AWS Backup がバックアップするリソースを指定するリソース割り当て。割り当ては、 AWS Backup を使用してリソースを検索して照合するタグペアを指定することで行われます。

      • [リソースの割り当て名] には、英数字、ハイフン、下線のみを使用できます。

      • の名前でバックアップを実行する AWS Backup ために が使用するIAMロールを指定します。

        コンソールでは、Amazon リソースネーム () 全体を指定しませんARN。ロール名とロールのタイプを指定するプレフィックスの両方を含める必要があります。通常、プレフィックスは role または service-role で、ロール名とはスラッシュ (「/」) で区切られます。例えば、role/MyRoleName または service-role/MyManagedRoleName と入力します。これは、基盤となる に保存ARNされると、フルに変換されますJSON。

        重要

        指定されたIAMロールは、ポリシーが適用されるアカウントに既に存在している必要があります。存在しない場合、バックアッププランはバックアップジョブを正常に開始する可能性がありますが、それらのバックアップジョブは失敗します。

      • [Resource tag key] (リソースタグキー) と [Tag values] (タグ値) のペアを 1 つ以上指定し、バックアップするリソースを特定します。複数のタグ値がある場合は、値をカンマで区切ります。

      [Add assignment] (割り当てを追加) を選択し、バックアッププランに設定した各リソース割り当てを追加します。

      詳細については、AWS Backup デベロッパーガイドバックアッププランへのリソースの割り当てを参照してください。

  6. ポリシーの作成が完了したら、[Create policy] (ポリシーの作成) を選択します。使用可能なバックアップポリシーのリストにポリシーが表示されます。

AWS CLI & AWS SDKs
バックアップポリシーを作成するには

次のいずれかを使用して、バックアップポリシーを作成できます。

  • AWS CLI: create-policy

    バックアッププランを次のようなJSONテキストとして作成し、テキストファイルに保存します。構文のすべてのルールについては、バックアップポリシーの構文と例 を参照してください。

    {
    "plans": {
        "PII_Backup_Plan": {
            "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
            "rules": {
                "Hourly": {
                    "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
                    "start_backup_window_minutes": { "@@assign": "480" },
                    "complete_backup_window_minutes": { "@@assign": "10080" },
                    "lifecycle": {
                        "move_to_cold_storage_after_days": { "@@assign": "180" },
                        "delete_after_days": { "@@assign": "270" }
                    },
                    "target_backup_vault_name": { "@@assign": "FortKnox" },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
                            "lifecycle": {
                                "move_to_cold_storage_after_days": { "@@assign": "10" },
                                "delete_after_days": { "@@assign": "100" }
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                        "tag_key": { "@@assign": "dataType" },
                        "tag_value": { "@@assign": [ "PII" ] }
                    }
                }
            }
        }
    }
}

    このバックアッププランでは、指定された にあり、 の値dataTypeを持つ タグ AWS リージョン を持つ、影響を受ける のすべてのリソースを AWS Backup AWS アカウント がバックアップするように指定しますPII

    次に、JSONポリシーファイルバックアッププランをインポートして、組織内に新しいバックアップポリシーを作成します。ポリシーの最後にあるポリシー ID を出力ARNに書き留めます。

    $ aws organizations create-policy \
    --name "MyBackupPolicy" \
    --type BACKUP_POLICY \
    --description "My backup policy" \
    --content file://policy.json{
    "Policy": {
        "PolicySummary": {
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
            "Description": "My backup policy",
            "Name": "MyBackupPolicy",
            "Type": "BACKUP_POLICY"
        }
        "Content": "...a condensed version of the JSON policy document you provided in the file...",
    }
}

  • AWS SDKs: CreatePolicy
次のステップ

バックアップポリシーを作成したら、ポリシーを有効にできます。そのためには、ポリシーを組織のルート、組織単位 (OUs)、組織 AWS アカウント 内、またはこれらすべての組み合わせにアタッチできます。

タグポリシーを作成する

最小アクセス許可

タグポリシーを作成するには、次のアクションを実行するためのアクセス権限が必要です。

  • organizations:CreatePolicy

でタグポリシーを作成するには、次の AWS Management Console 2 つの方法があります。

  • オプションを選択し、JSONポリシーテキストを生成できるビジュアルエディタ。

  • JSON ポリシーテキストを自分で直接作成できるテキストエディタ。

ビジュアルエディタを使用すると、プロセスが簡単になりますが、柔軟性は制限されます。これは、最初のポリシーを作成し、使用に慣れるのに最適な方法です。それらがどのように機能するかを理解し、ビジュアルエディタが提供する内容によって制限され始めたら、ポリシーテキストを自分で編集することでJSON、ポリシーに高度な機能を追加できます。ビジュアルエディタは、@@assign 値設定演算子のみを使用し、子制御演算子へのアクセスは提供しません。JSON ポリシーテキストを手動で編集する場合にのみ、子コントロール演算子を追加できます。

AWS Management Console

でタグポリシーを作成するには、次の AWS Management Console 2 つの方法があります。

  • オプションを選択し、JSONポリシーテキストを生成できるビジュアルエディタ。

  • JSON ポリシーテキストを自分で直接作成できるテキストエディタ。

ビジュアルエディタを使用すると、プロセスが簡単になりますが、柔軟性は制限されます。これは、最初のポリシーを作成し、使用に慣れるのに最適な方法です。それらがどのように機能するかを理解し、ビジュアルエディタが提供する内容によって制限され始めたら、ポリシーテキストを自分で編集することでJSON、ポリシーに高度な機能を追加できます。ビジュアルエディタは、@@assign 値設定演算子のみを使用し、子制御演算子へのアクセスは提供しません。JSON ポリシーテキストを手動で編集する場合にのみ、子コントロール演算子を追加できます。

タグポリシーを作成するには

  1. AWS Organizations コンソール にサインインします。ユーザーとしてサインインするかIAM、IAMロールを引き受けるか、組織の管理アカウントのルートユーザー (推奨されません) としてサインインする必要があります。

  2. タグポリシーページで、[Create policy] (ポリシーの作成) を選択します。

  3. [Create policy] (ポリシーの作成) ページで、ポリシー名と、オプションでポリシーの説明を入力します。

  4. (オプション) ポリシーオブジェクト自体には 1 つ以上のタグを追加できます。これらのタグはポリシーの一部ではありません。これを行うには、[Add tag] (タグの追加) を選択してから、キーとオプションの値を入力します。値を空白のままにすると、空の文字列が設定され、null にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「AWS Organizations リソースのタグ付け」を参照してください。

  5. この手順で説明するように、ビジュアルエディタを使用してタグポリシーを構築できます。JSON タブにタグポリシーを入力または貼り付けることもできます。タグポリシーの構文については、タグポリシー構文 を参照してください。

    ビジュアルエディタ を使用する場合は、以下を指定します。

  6. [New tag key 1] (新しいタグキー 1) で、追加するタグキーの名前を指定します。

  7. コンプライアンスオプションでは、次のオプションを選択できます。

    1. タグキーに上記で指定した大文字と小文字を使用します。このオプションはオフ (デフォルト) のままにして、継承された親タグポリシーが存在する場合は、タグキーのケース処理を定義するように指定します。

      このポリシーを使用してタグキーの大文字と小文字を区別する場合は、このオプションを有効にします。このオプションを選択すると、[タグキー] に指定した大文字と小文字は、継承された親ポリシーで指定された大文字と小文字の処理より優先されます。

      親ポリシーが存在せず、このオプションを有効にしない場合、タグキーがすべて小文字のものだけが準拠していると見なされます。親ポリシーからの継承の詳細については、「管理ポリシーの継承を理解する」を参照してください。

      ヒント

      タグキーとその大文字小文字の処理を定義するタグポリシーを作成する際のガイドとして、「例 1: 組織全体のタグキーの大文字小文字取り扱いの定義」に示すタグポリシーの例を使用することを検討してください。組織のルートにアタッチします。その後、追加のタグポリシーを作成して OUs または アカウントにアタッチし、追加のタグ付けルールを作成できます。

    2. このタグキーの許容値を指定する — 親ポリシーから継承された値にこのタグキーの許容値を追加する場合は、このオプションを有効にします。

      デフォルトでは、このオプションはオフになっています。つまり、親ポリシーで定義され、親ポリシーから継承された値だけが準拠していると見なされます。親ポリシーが存在しない場合、またはタグ値を指定しない場合、すべての値 (値なしの場合を含む) が準拠していると見なされます。

      受け入れ可能なタグ値のリストを更新するには、[Specify allowed values for this tag key] (このタグキーに許可される値を指定する) を選択し、[Specify values] (値を指定) を選択します。プロンプトが表示されたら、新しい値を入力し (ボックスごとに 1 つの値)、[Save changes] (変更の保存) を選択します。

  8. 強制するリソースタイプでは、このタグ の非準拠オペレーションの防止 を選択できます。

    タグポリシーの使用に慣れていない限り、このオプションはオフ (デフォルト) にしておくことをお勧めします。「強制について」の推奨事項を確認し、完全なテストを実施してください。そうしないと、組織のアカウントのユーザーが必要なリソースにタグ付けできなくなる可能性があります。

    このタグキーへの準拠を強制する場合は、チェックボックスをオンにしてから [Specify resource types] (リソースタイプを指定) を選択します。プロンプトが表示されたら、ポリシーに含めるリソースタイプを選択します。次に、変更の保存を選択します。

    重要

    このオプションを選択すると、指定したタイプのリソースのタグを操作するオペレーションは、そのオペレーションの結果としてポリシーに準拠するタグが得られた場合にのみ成功します。

  9. (オプション) このタグポリシーに別のタグキーを追加するには、[Add tag key] を選択します。次に、ステップ 6~9 を実行してタグキーを定義します。

  10. タグポリシーの構築が完了したら、[Save changes] (変更を保存) を選択します。

AWS CLI & AWS SDKs
タグポリシーを作成するには

次のいずれかを使用して、タグポリシーを作成できます。

  • AWS CLI: create-policy

    タグポリシーの作成には任意のテキストエディタを使用できます。JSON 構文を使用して、タグポリシーを任意の名前と拡張子を持つファイルとして任意の場所に保存します。タグポリシーには、スペースを含めて最大 2,500 文字を使用できます。タグポリシーの構文については、タグポリシー構文 を参照してください。

    タグポリシーを作成するには

    1. 以下のようなタグポリシーのテキストファイルを作成します。

      testpolicy.json の内容:

      {
    "tags": {
        "CostCenter": {
            "tag_key": {
                "@@assign": "CostCenter"
            }
        }
    }
}

      このタグポリシーは、CostCenter タグキーを定義します。タグは任意の値を受け入れることができますが、値を受け入れなくても構いません。このようなポリシーは、値の有無にかかわらず CostCenter タグがアタッチされたリソースが準拠していることを意味します。

    2. ファイルにあるポリシーの内容を含むポリシーを作成します。出力が読みやすくなるように、余分な余白は切り詰められています。

      $ aws organizations create-policy \
    --name "MyTestTagPolicy" \
    --description "My Test policy" \
    --content file://testpolicy.json \
    --type TAG_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-a1b2c3d4e5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
            "Name": "MyTestTagPolicy",
            "Description": "My Test policy",
            "Type": "TAG_POLICY",
            "AwsManaged": false
        },
        "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
    }
}

  • AWS SDKs: CreatePolicy
次のステップ

タグポリシーを作成したら、タグ付けルールを有効にできます。これを行うには、ポリシーを組織のルート、組織単位 ()、組織内、または組織エンティティの組み合わせにアタッチします。OUs AWS アカウント

チャットボットポリシーを作成する

最小アクセス許可

チャットボットポリシーを作成するには、次のアクションを実行するためのアクセス許可が必要です。

  • organizations:CreatePolicy

AWS Management Console

チャットボットポリシーは、次のいずれか AWS Management Console の方法で で作成できます。

  • オプションを選択し、JSONポリシーテキストを生成できるビジュアルエディタ。

  • JSON ポリシーテキストを自分で直接作成できるテキストエディタ。

ビジュアルエディタを使用すると、プロセスが簡単になりますが、柔軟性は制限されます。これは、最初のポリシーを作成し、使用に慣れるのに最適な方法です。それらがどのように機能するかを理解し、ビジュアルエディタが提供する内容によって制限され始めたら、ポリシーテキストを自分で編集することでJSON、ポリシーに高度な機能を追加できます。ビジュアルエディタは、@@assign 値設定演算子のみを使用し、子制御演算子へのアクセスは提供しません。JSON ポリシーテキストを手動で編集する場合にのみ、子コントロール演算子を追加できます。

チャットボットポリシーを作成するには

  1. AWS Organizations コンソール にサインインします。ユーザーとしてサインインするかIAM、IAMロールを引き受けるか、組織の管理アカウントのルートユーザー (推奨されません) としてサインインする必要があります。

  2. Chatbot ポリシーページで、ポリシーの作成 を選択します。

  3. 新しいチャットボットポリシーの作成ページでポリシー名とオプションのポリシーの説明 を入力します。

  4. (オプション) [Add tag] (タグの追加) を選択してキーとオプションの値を入力することで、ポリシーに 1 つ以上のタグを追加できます。値を空白のままにすると、空の文字列が設定され、null にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「AWS Organizations リソースのタグ付け」を参照してください。

  5. この手順で説明するように、[ビジュアルエディタ] を使用してポリシーを構築できます。JSON タブでポリシーテキストを入力または貼り付けることもできます。Chatbot ポリシー構文の詳細については、「」を参照してくださいChatbot ポリシーの構文と例

    ビジュアルエディタ を使用する場合は、チャットクライアントのアクセスコントロールを指定してチャットボットポリシーを設定します。

    1. Amazon Chime チャットクライアントアクセスを設定するには、次のいずれかを選択します。

      • チャイムへのアクセスを拒否します。

      • Chime アクセスを許可します。

    2. Microsoft Teams チャットクライアントアクセスを設定するには、以下を選択します。

      • すべてのチームへのアクセスを拒否する

      • すべての Teams へのアクセスを許可する

      • 名前付き Teams へのアクセスを制限する

    3. Slack チャットクライアントアクセスの設定には、次のいずれかを選択します。

      • すべての Slack ワークスペースへのアクセスを拒否する

      • すべての Slack ワークスペースへのアクセスを許可する

      • 名前付き Slack ワークパスへのアクセスを制限する

      注記

      さらに、 AWS Chatbot 使用量をプライベート Slack チャネル のみに制限することもできます。

    4. アクセスIAM許可タイプを設定するには、次のオプションを選択します。

      • チャネルレベルのIAMロールを有効にする — すべてのチャネルメンバーは、チャネルでタスクを実行するためのIAMロールアクセス許可を共有します。チャネルメンバーが同じアクセス許可を必要とする場合、チャネルロールが適切です。

      • ユーザーレベルのIAMロールを有効にする — チャネルメンバーはアクションを実行するIAMユーザーロールを選択する必要があります (ロールを選択するにはコンソールへのアクセスが必要です)。チャネルメンバーが異なるアクセス許可を必要とし、ユーザーロールを選択できる場合、ユーザーロールは適切です。

  6. ポリシーの作成が完了したら、[Create policy] (ポリシーの作成) を選択します。ポリシーは、チャットボットバックアップポリシーのリストに表示されます。

AWS CLI & AWS SDKs
チャットボットポリシーを作成するには

次のいずれかを使用して、チャットボットポリシーを作成できます。

  • AWS CLI: create-policy

    任意のテキストエディタを使用して、チャットボットポリシーを作成できます。JSON 構文を使用して、任意の名前と拡張子を持つファイルとしてチャットボットポリシーを任意の場所に保存します。Chatbot ポリシーには、スペースを含め、最大 ? 文字を使用できます。タグポリシーの構文については、Chatbot ポリシーの構文と例 を参照してください。

    チャットボットポリシーを作成するには

    1. 次のようなテキストファイルにチャットボットポリシーを作成します。

      testpolicy.json の内容:

      {
   "chatbot": {
      "platforms": {
         "slack": {
            "client": {
               "@@assign": "enabled"
            },
            "workspaces": {
               "@@assign": [
                  "Slack-Workspace-Id"
               ]
            },
            "default": {
               "supported_channel_types": {
                  "@@assign": [
                     "private"
                  ]
               }
            }
         },
         "microsoft_teams": {
            "client": {
               "@@assign": "disabled"
            }
         }
      }
   }
}

      このチャットボットポリシーは、特定のワークスペース内のプライベート Slack チャネルのみを許可し、Microsoft Teams を無効にし、すべてのロール設定 をサポートします。

    2. ファイルにあるポリシーの内容を含むポリシーを作成します。出力が読みやすくなるように、余分な余白は切り詰められています。

      $ aws organizations create-policy \
    --name "MyTestTagPolicy" \
    --description "My Test policy" \
    --content file://testpolicy.json \
    --type TAG_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-a1b2c3d4e5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/chatbot_policy/p-a1b2c3d4e5",
            "Name": "MyTestChatbotPolicy",
            "Description": "My Test policy",
            "Type": "CHATBOT_POLICY",
            "AwsManaged": false
        },
        "Content": "{"chatbot":{"platforms":{"slack":{"client":{"@@assign":"enabled"},"workspaces":{"@@assign":["Slack-Workspace-Id"]},"supported_channel_types":{"@@assign":["private"]}},"microsoft_teams":{"client":{"@@assign":"disabled"}}}}}"
    }
}

  • AWS SDKs: CreatePolicy
次のステップ

チャットボットポリシーを作成したら、オプトアウトの選択を有効にできます。そのためには、ポリシーを組織のルート、組織単位 (OUs)、組織 AWS アカウント 内、またはこれらすべての組み合わせにアタッチできます。

AI サービスのオプトアウトポリシーを作成する

最小アクセス許可

AI サービスのオプトアウトポリシーを作成するには、次のアクションを実行するアクセス許可が必要です。

  • organizations:CreatePolicy

AWS Management Console
AI サービスのオプトアウトポリシーを作成するには

  1. AWS Organizations コンソール にサインインします。ユーザーとしてサインインするかIAM、IAMロールを引き受けるか、組織の管理アカウントでルートユーザー (非推奨) としてサインインする必要があります。

  2. AI サービスのオプトアウトポリシーページで、[Create policy] (ポリシーの作成) を選択します。

  3. [Create new AI services opt-out policy] (新しい AI サービスのオプトアウトポリシーの作成) ページで、ポリシー名ポリシーの説明を入力します。

  4. (オプション) [Add tag] (タグの追加) を選択してキーとオプションの値を入力することで、ポリシーに 1 つ以上のタグを追加できます。値を空白のままにすると、空の文字列が設定され、null にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「AWS Organizations リソースのタグ付け」を参照してください。

  5. JSON タブにポリシーテキストを入力または貼り付けます。AI サービスのオプトアウトポリシーの構文について詳しくは、AI サービスのオプトアウトポリシーの構文と例 を参照してください。開始点として使用できるサンプルポリシーについては、AI サービスのオプトアウトポリシーの例 を参照してください。

  6. ポリシーの編集が完了したら、ページの右下隅の [Create policy] (ポリシーの作成) を選択します。

AWS CLI & AWS SDKs
AI サービスのオプトアウトポリシーを作成するには

次のいずれかを使用して、タグポリシーを作成できます。

  • AWS CLI: create-policy

    1. 次のような AI サービスのオプトアウトポリシーを作成し、テキストファイルとして保存します。「optOut」と「optIn」では大文字と小文字が区別されます。

      {
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

      この AI サービスのオプトアウトポリシーは、ポリシーの影響を受けるすべてのアカウントが、Amazon Rekognition を除くすべての AI サービスからオプトアウトされるように指定します。

    2. JSON ポリシーファイルをインポートして、組織に新しいポリシーを作成します。この例では、前のJSONファイルの名前は でしたpolicy.json

      $ aws organizations create-policy \
    --type AISERVICES_OPT_OUT_POLICY \
    --name "MyTestPolicy" \
    --description "My test policy" \
    --content file://policy.json
{
    "Policy": {
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5"
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Description": "My test policy",
            "Name": "MyTestPolicy",
            "Type": "AISERVICES_OPT_OUT_POLICY"
        }
    }
}

  • AWS SDKs: CreatePolicy
次のステップ

AI サービスのオプトアウトポリシーを作成したら、オプトアウト設定を有効にすることができます。これを行うには、ポリシーを組織のルート、組織単位 (OUs)、組織 AWS アカウント 内、またはこれらすべての組み合わせにアタッチします。