AWS Organizations での組織ポリシーの作成 - AWS Organizations
サービスコントロールポリシー (SCP) を作成するバックアップポリシーを作成するタグポリシーを作成するチャットボットポリシーを作成するAI サービスのオプトアウトポリシーを作成する

AWS Organizations での組織ポリシーの作成

組織のポリシーを有効にすると、ポリシーを作成できます。

このトピックでは、AWS Organizations でポリシーを作成する方法について説明します。ポリシーは、AWS アカウントのグループに適用するコントロールを定義します。AWS Organizations は管理ポリシーと承認ポリシーをサポートします。

サービスコントロールポリシー (SCP) を作成する

最小アクセス許可

SCP を作成するには、以下のアクションを実行する権限が必要です。

  • organizations:CreatePolicy

AWS Management Console
サービスコントロールポリシーを作成するには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. サービスコントロールポリシーページで、[Create policy] (ポリシーの作成) を選択します。

  3. [Create new service control policy] (新しいサービスコントロールポリシーの作成) ページで、[Policy name] (ポリシー名) とオプションの [Policy description] (ポリシーの説明) に入力します。

  4. (オプション) [Add tag] (タグの追加) を選択してキーとオプションの値を入力し、1 つ以上のタグを追加します。値を空白のままにすると、空の文字列が設定され、null にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「AWS Organizations リソースのタグ付け」を参照してください。

    注記

    この後のほとんどのステップでは、JSON エディタの右側にあるコントロールを使用して、要素ごとにポリシーを構築する方法について説明します。また、ウィンドウの左側にある JSON エディタには、いつでもテキストを入力することもできます。直接入力することも、コピーアンドペーストを使用することもできます。

  5. ポリシーを構築するための次のステップは、アクセスを拒否または許可するステートメントを追加するかどうかに応じて異なります。詳細については、「SCP 評価」を参照してください。Deny ステートメントを使用すると、特定のリソースへのアクセスを制限したり、SCP が有効になる条件を定義したり、NotAction 要素を使用したりできるため、さらなるコントロールが可能になります。構文の詳細については、「SCP 構文」を参照してください。

    アクセスを拒否するステートメントを追加するには

    1. エディタの右側の [ステートメントを編集] ペインの [アクションを追加] で、AWS サービスを選択します。

      右側のオプションを選択すると、JSON エディタが更新され、左側に対応する JSON ポリシーが表示されます。

    2. サービスを選択すると、そのサービスで使用可能なアクションが記載されたリストが開きます。[All actions] (すべてのアクション) または、拒否する 1 つ以上の個別のアクションを選択します。

      左側の JSON が更新され、選択したアクションが表示されます。

      注記

      個別のアクションを選択したら、戻って [All actions] (すべてのアクション) を選択すると、予定される servicename/* のエントリが JSON に追加されますが、以前に選択した個別のアクションは JSON に残ったまま削除されません。

    3. 追加のサービスからアクションを追加したい場合は、[Statement] (ステートメント) ボックスの上部にある [All services] (すべてのサービス) を選択し、必要に応じて前の 2 つのステップを繰り返します。

    4. ステートメントに含めるリソースを指定します。

      • [リソースの追加] の横にある [追加] を選択します。

      • [Add a resource] (リソースの追加) ダイアログで、リソースを制御するサービスをリストから選択します。前のステップで選択したサービスからのみ選択できます。

      • [Resource type] (リソースタイプ) で、制御するリソースのタイプを選択します。

      • 最後に、[Resource ARN] (リソース ARN) で Amazon リソースネーム (ARN) を入力し、アクセスをコントロールするリソースを特定します。中括弧 {} で囲まれたすべてのプレースホルダーを置き換える必要があります。そのリソースタイプの ARN 構文で許可されているワイルドカード (*) を指定できます。ワイルドカードを使用できる場所については、特定のリソースタイプに関するドキュメントを参照してください。

      • [Add a resource] (リソースの追加) を選択して、ポリシーへの追加を保存します。JSON の Resource 要素に、追加や変更が反映されます。[Resource] (リソース) 要素が必要です。

      ヒント

      選択したサービスのすべてのリソースを指定する場合は、リストの [All resource] (すべてのリソース) のオプションを選択するか、JSON で Resource ステートメントを直接編集して "Resource":"*" を読み取ります。

    5. (オプション) ポリシーステートメントが有効なときに制限する条件を指定するには、[条件を追加] の横にある [追加] を選択します。

      • 条件キー - リストから、すべての AWS のサービスで使用できる任意の条件キー (例: aws:SourceIp)、またはこのステートメントに選択した 1 つのサービスのみで使用できるサービス固有のキーを選択できます。

      • 限定条件 - (オプション) 条件に複数の値を入力する場合 (指定した条件キーに応じて)、値に対するリクエストをテストする限定条件を指定できます。

        • デフォルト値 — ポリシーの条件キーバリューに対する、リクエスト内の単一の値をテストします。リクエスト値がポリシーの値と一致する場合、条件は true を返します。ポリシーで複数の値を指定した場合、それらは「or」のテストとして扱われ、リクエスト値がポリシーの値のいずれかに一致すると、条件は true を返します。

        • リクエスト内の任意の値 — リクエストに複数の値を含めることができる場合、このオプションでは、リクエスト値の少なくとも 1 つが、ポリシーの少なくとも 1 つの条件キーバリューと一致するかどうかをテストします。リクエスト内のキーバリューのいずれかがポリシーの条件値のいずれかと一致する場合に true が返されます。一致するキーまたは空のデータセットがない場合、条件は false を返します。

        • リクエスト内のすべての値 - リクエストに複数の値を含めることができる場合、このオプションは、すべてのリクエスト値がポリシーの条件キーバリューと一致するかどうかをテストします。リクエストのすべてのキーバリューがポリシーの 1 つ以上の値と一致する場合、条件は true を返します。また、リクエストにキーがない場合、またはキーバリューが空の文字列などの null データセットに解決される場合は true を返します。

      • 演算子演算子は、比較するタイプを指定します。表示されるオプションは、条件キーのデータ型によって異なります。例えば、aws:CurrentTime グローバル条件キーを使用すると、任意の日付比較演算子または Null から選択でき、それを使用してリクエスト内に値が存在するかどうかをテストできます。

        Null テスト以外のすべての条件演算子については、IfExists オプションを選択できます。

      • — (オプション) リクエストをテストする 1 つ以上の値を指定します。

      [条件を追加] を選択します。

      条件キーの詳細については、IAM ユーザーガイドの「IAM JSON ポリシーの要素: Condition」を参照してください。

    6. (オプション) NotAction 要素を使用して、指定したアクションを除くすべてのアクションへのアクセスを拒否するには、左側のペインにある ActionNotAction 要素の直後に表示される "Effect": "Deny", で置き換えます。詳細については、IAM ユーザーガイドの 「IAM JSON ポリシーの要素: NotAction」を参照してください。

  6. アクセスを許可するステートメントを追加するには

    1. 左側の JSON エディタで、行 "Effect": "Deny""Effect": "Allow" に変更します。

      右側のオプションを選択すると、JSON エディターが更新され、対応する JSON ポリシーが左側に表示されます。

    2. サービスを選択すると、そのサービスで使用可能なアクションが記載されたリストが開きます。[All actions] (すべてのアクション) または、許可する 1 つ以上のアクションを個別に選択できます。

      左側の JSON が更新され、選択したアクションが表示されます。

      注記

      個別のアクションを選択したら、戻って [All actions] (すべてのアクション) を選択すると、予定される servicename/* のエントリが JSON に追加されますが、以前に選択した個別のアクションは JSON に残ったまま削除されません。

    3. 追加のサービスからアクションを追加したい場合は、[Statement] (ステートメント) ボックスの上部にある [All services] (すべてのサービス) を選択し、必要に応じて前の 2 つのステップを繰り返します。

  7. (オプション) ポリシーに別のステートメントを追加するには、[Add statement] (ステートメントを追加) を選択し、ビジュアルエディタを使用して次のステートメントを構築します。

  8. ステートメントの追加が終了したら、[ポリシーの作成] を選択して完了した SCP を保存します。

新しい SCP は組織のポリシーのリストに表示されます。SCP をルート、OU、またはアカウントにアタッチできるようになりました。

AWS CLI & AWS SDKs
サービスコントロールポリシーを作成するには

SCP を作成するには、次のいずれかのコマンドを使用します。

  • AWS CLI: create-policy

    次の例は、JSON ポリシーのテキストを含む Deny-IAM.json いう名前のファイルがあることを前提としたものです。このファイルを使用して、新しいサービスコントロールポリシーを作成します。

    $ aws organizations create-policy \
    --content file://Deny-IAM.json \
    --description "Deny all IAM actions" \
    --name DenyIAMSCP \
    --type SERVICE_CONTROL_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
            "Name": "DenyIAMSCP",
            "Description": "Deny all IAM actions",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": false
        },
         "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
    }
}

  • AWS SDK: CreatePolicy
注記

SCP は、管理アカウントやその他のいくつかの状況では有効になりません。詳細については、「SCP によって制限されないタスクおよびエンティティ」を参照してください。

バックアップポリシーを作成する

最小アクセス許可

バックアップポリシーを作成するには、次のアクションを実行するアクセス許可が必要です。

  • organizations:CreatePolicy

AWS Management Console

AWS Management Console にバックアップポリシーを作成するには、次の 2 つの方法があります。

  • オプションを選択し、JSON ポリシーテキストを生成できるビジュアルエディタ。

  • JSON ポリシーテキストを直接作成できるテキストエディタ。

ビジュアルエディタを使用すると、プロセスが簡単になりますが、柔軟性は制限されます。これは、最初のポリシーを作成し、使用に慣れるのに最適な方法です。これらの機能の仕組みを理解し、ビジュアルエディタが提供するものによって制限され始めたら、JSON ポリシーテキストを自分で編集して、ポリシーに高度な機能を追加できます。ビジュアルエディタは、@@assign 値設定演算子のみを使用し、子制御演算子へのアクセスは提供しません。子制御演算子は、JSON ポリシーテキストを手動で編集した場合にのみ追加できます。

バックアップポリシーを作成するには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. バックアップポリシーページで、[Create policy] (ポリシーの作成) を選択します。

  3. [Create policy] (ポリシーの作成) ページで、ポリシー名と、オプションでポリシーの説明を入力します。

  4. (オプション) [Add tag] (タグの追加) を選択してキーとオプションの値を入力することで、ポリシーに 1 つ以上のタグを追加できます。値を空白のままにすると、空の文字列が設定され、null にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。タグ付けの詳細については、「AWS Organizations リソースのタグ付け」を参照してください。

  5. この手順で説明するように、[ビジュアルエディタ] を使用してポリシーを構築できます。また、[JSON] タブにポリシーテキストを入力または貼り付けることもできます。バックアップポリシーの構文については、バックアップポリシーの構文と例 を参照してください。

    [ビジュアルエディタ] を使用する場合は、シナリオに適したバックアップオプションを選択します。バックアッププランは 3 つの部分で構成されます。こうしたバックアッププランの要素について詳しくは、AWS Backup デベロッパーガイドのバックアッププランの作成、およびリソースの割り当てを参照してください。

    1. バックアッププランの全般的な説明

      • [バックアッププラン名] には、英数字、ハイフン、下線のみを使用できます。

      • リストから少なくとも 1 つの [バックアッププランリージョン] を選択する必要があります。プランでは、選択した AWS リージョン でのみリソースをバックアップできます。

    2. AWS Backup の動作方法とタイミングを指定する 1 つ以上のバックアップルール。各バックアップルールは、次の項目を定義します。

      • バックアップの頻度、およびバックアップを実行できるタイムウィンドウを含むスケジュール。

      • 使用するバックアップボールトの名前。[バックアップボールト名] は、英数字、ハイフン、下線のみで構成できます。プランを正常に実行するには、バックアップボールトが存在している必要があります。AWS Backup コンソールまたは AWS CLI コマンドを使用して、ボールトを作成します。

      • (オプション) 1 つ以上のリージョンにコピールールで、バックアップを他の AWS リージョン のボールトにもコピーします。

      • このバックアッププランを実行するたびに作成されるバックアップリカバリポイントに関連付ける 1 つ以上のタグキーと値のペア。

      • バックアップがコールドストレージに移行するタイミングとバックアップの期限を指定するライフサイクルオプション。

      [Add rule] (ルールの追加) を選択し、必要な各ルールをプランに追加します。

      バックアップルールの詳細については、AWS Backup デベロッパーガイドバックアップルールを参照してください。

    3. このプランで AWS Backup がバックアップするリソースを指定するリソース割り当て。この割り当ては、リソースの検索と照合に AWS Backup が使用するタグのペアを指定することによって行われます。

      • [リソースの割り当て名] には、英数字、ハイフン、下線のみを使用できます。

      • AWS Backup 用の [IAM role] (IAM ロール) を指定します。バックアップはこの名前で実行されます。

        コンソールでは、Amazon リソースネーム (ARN) の全体は指定しません。ロール名とロールのタイプを指定するプレフィックスの両方を含める必要があります。通常、プレフィックスは role または service-role で、ロール名とはスラッシュ (「/」) で区切られます。例えば、role/MyRoleName または service-role/MyManagedRoleName と入力します。これは、基本となる JSON に保存される際に完全な ARN に自動で変換されます。

        重要

        指定した IAM ロールは、ポリシーが適用されるアカウントにすでに存在している必要があります。存在しない場合、バックアッププランはバックアップジョブを正常に開始する可能性がありますが、それらのバックアップジョブは失敗します。

      • [Resource tag key] (リソースタグキー) と [Tag values] (タグ値) のペアを 1 つ以上指定し、バックアップするリソースを特定します。複数のタグ値がある場合は、値をカンマで区切ります。

      [Add assignment] (割り当てを追加) を選択し、バックアッププランに設定した各リソース割り当てを追加します。

      詳細については、AWS Backup デベロッパーガイドバックアッププランへのリソースの割り当てを参照してください。

  6. ポリシーの作成が完了したら、[Create policy] (ポリシーの作成) を選択します。使用可能なバックアップポリシーのリストにポリシーが表示されます。

AWS CLI & AWS SDKs
バックアップポリシーを作成するには

次のいずれかを使用して、バックアップポリシーを作成できます。

  • AWS CLI: create-policy

    バックアッププランを次のような JSON テキストとして作成し、テキストファイルとして保存します。構文のすべてのルールについては、バックアップポリシーの構文と例 を参照してください。

    {
    "plans": {
        "PII_Backup_Plan": {
            "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
            "rules": {
                "Hourly": {
                    "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
                    "start_backup_window_minutes": { "@@assign": "480" },
                    "complete_backup_window_minutes": { "@@assign": "10080" },
                    "lifecycle": {
                        "move_to_cold_storage_after_days": { "@@assign": "180" },
                        "delete_after_days": { "@@assign": "270" }
                    },
                    "target_backup_vault_name": { "@@assign": "FortKnox" },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
                            "lifecycle": {
                                "move_to_cold_storage_after_days": { "@@assign": "10" },
                                "delete_after_days": { "@@assign": "100" }
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                        "tag_key": { "@@assign": "dataType" },
                        "tag_value": { "@@assign": [ "PII" ] }
                    }
                }
            }
        }
    }
}

    このバックアップポリシーは、指定した AWS リージョン 内の該当する AWS アカウント にあり、かつ、値が PII のタグ dataType を持つすべてのリソースが AWS Backup によってバックアップされるよう指定します。

    次に、JSON ポリシーファイルをインポートして、組織内に新しいポリシーを作成します。出力のポリシー ARN の末尾にあるポリシー ID を書き留めます。

    $ aws organizations create-policy \
    --name "MyBackupPolicy" \
    --type BACKUP_POLICY \
    --description "My backup policy" \
    --content file://policy.json{
    "Policy": {
        "PolicySummary": {
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
            "Description": "My backup policy",
            "Name": "MyBackupPolicy",
            "Type": "BACKUP_POLICY"
        }
        "Content": "...a condensed version of the JSON policy document you provided in the file...",
    }
}

  • AWS SDK: CreatePolicy
次のステップ

バックアップポリシーを作成したら、ポリシーを有効にできます。これを行うには、組織ルート、組織単位 (OU)、組織内の AWS アカウント、またはこれらすべてにポリシーをアタッチします。

タグポリシーを作成する

最小アクセス許可

タグポリシーを作成するには、次のアクションを実行するためのアクセス権限が必要です。

  • organizations:CreatePolicy

AWS Management Console にタグアップポリシーを作成するには、次の 2 つの方法があります。

  • オプションを選択し、JSON ポリシーテキストを生成できるビジュアルエディタ。

  • JSON ポリシーテキストを直接作成できるテキストエディタ。

ビジュアルエディタを使用すると、プロセスが簡単になりますが、柔軟性は制限されます。これは、最初のポリシーを作成し、使用に慣れるのに最適な方法です。これらの機能の仕組みを理解し、ビジュアルエディタが提供するものによって制限され始めたら、JSON ポリシーテキストを自分で編集して、ポリシーに高度な機能を追加できます。ビジュアルエディタは、@@assign 値設定演算子のみを使用し、子制御演算子へのアクセスは提供しません。子制御演算子は、JSON ポリシーテキストを手動で編集した場合にのみ追加できます。

AWS Management Console

AWS Management Console にタグアップポリシーを作成するには、次の 2 つの方法があります。

  • オプションを選択し、JSON ポリシーテキストを生成できるビジュアルエディタ。

  • JSON ポリシーテキストを直接作成できるテキストエディタ。

ビジュアルエディタを使用すると、プロセスが簡単になりますが、柔軟性は制限されます。これは、最初のポリシーを作成し、使用に慣れるのに最適な方法です。これらの機能の仕組みを理解し、ビジュアルエディタが提供するものによって制限され始めたら、JSON ポリシーテキストを自分で編集して、ポリシーに高度な機能を追加できます。ビジュアルエディタは、@@assign 値設定演算子のみを使用し、子制御演算子へのアクセスは提供しません。子制御演算子は、JSON ポリシーテキストを手動で編集した場合にのみ追加できます。

タグポリシーを作成するには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. タグポリシーページで、[Create policy] (ポリシーの作成) を選択します。

  3. [Create policy] (ポリシーの作成) ページで、ポリシー名と、オプションでポリシーの説明を入力します。

  4. (オプション) ポリシーオブジェクト自体には 1 つ以上のタグを追加できます。これらのタグはポリシーの一部ではありません。これを行うには、[Add tag] (タグの追加) を選択してから、キーとオプションの値を入力します。値を空白のままにすると、空の文字列が設定され、null にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「AWS Organizations リソースのタグ付け」を参照してください。

  5. この手順で説明するように、ビジュアルエディタを使用してタグポリシーを構築できます。[JSON] タブでタグポリシーを入力またはペーストすることもできます。タグポリシーの構文については、タグポリシー構文 を参照してください。

    [ビジュアルエディタ] を使用する場合は、以下を指定します。

  6. [New tag key 1] (新しいタグキー 1) で、追加するタグキーの名前を指定します。

  7. [コンプライアンスオプション] では、次のオプションを選択できます。

    1. [タグキーには、上記で指定したの大文字と小文字の表記を使用する] – このオプションをオフ (デフォルト) のままにすると、継承された親タグポリシーが存在する場合、タグキーの大文字と小文字の処理を定義するように指定します。

      このポリシーを使用してタグキーの大文字と小文字を区別する場合は、このオプションを有効にします。このオプションを選択すると、[タグキー] に指定した大文字と小文字は、継承された親ポリシーで指定された大文字と小文字の処理より優先されます。

      親ポリシーが存在せず、このオプションを有効にしない場合、タグキーがすべて小文字のものだけが準拠していると見なされます。親ポリシーからの継承の詳細については、「管理ポリシーの継承を理解する」を参照してください。

      ヒント

      タグキーとその大文字小文字の処理を定義するタグポリシーを作成する際のガイドとして、「例 1: 組織全体のタグキーの大文字小文字取り扱いの定義」に示すタグポリシーの例を使用することを検討してください。組織のルートにアタッチします。後で追加のタグポリシーを作成し、OU またはアカウントにアタッチして、追加のタグ付けルールを作成できます。

    2. [このタグの許可された値を指定する] で、このタグキーに許可される値を親ポリシーから継承された値に追加する場合は、このオプションを有効にします。

      デフォルトでは、このオプションはオフになっています。つまり、親ポリシーで定義され、親ポリシーから継承された値だけが準拠していると見なされます。親ポリシーが存在しない場合、またはタグ値を指定しない場合、すべての値 (値なしの場合を含む) が準拠していると見なされます。

      受け入れ可能なタグ値のリストを更新するには、[Specify allowed values for this tag key] (このタグキーに許可される値を指定する) を選択し、[Specify values] (値を指定) を選択します。プロンプトが表示されたら、新しい値を入力し (ボックスごとに 1 つの値)、[Save changes] (変更の保存) を選択します。

  8. [強制するリソースタイプ] では、[このタグの非準拠オペレーションの防止] を選択できます。

    タグポリシーの使用経験がない場合は、このオプションをオフ (デフォルト) のままにしておくことをお勧めします。「強制について」の推奨事項を確認し、完全なテストを実施してください。そうしないと、組織のアカウントのユーザーが必要なリソースにタグ付けできなくなる可能性があります。

    このタグキーへの準拠を強制する場合は、チェックボックスをオンにしてから [Specify resource types] (リソースタイプを指定) を選択します。プロンプトが表示されたら、ポリシーに含めるリソースタイプを選択します。次に、変更の保存を選択します。

    重要

    このオプションを選択すると、指定したタイプのリソースのタグを操作するオペレーションは、そのオペレーションの結果としてポリシーに準拠するタグが得られた場合にのみ成功します。

  9. (オプション) このタグポリシーに別のタグキーを追加するには、[Add tag key] を選択します。次に、ステップ 6~9 を実行してタグキーを定義します。

  10. タグポリシーの構築が完了したら、[Save changes] (変更を保存) を選択します。

AWS CLI & AWS SDKs
タグポリシーを作成するには

次のいずれかを使用して、タグポリシーを作成できます。

  • AWS CLI: create-policy

    タグポリシーの作成には任意のテキストエディタを使用できます。JSON 構文を使用し、タグポリシーを任意の名前と拡張子を持つファイルとして任意の場所に保存します。タグポリシーには、スペースを含めて最大 2,500 文字を使用できます。タグポリシーの構文については、タグポリシー構文 を参照してください。

    タグポリシーを作成するには

    1. 以下のようなタグポリシーのテキストファイルを作成します。

      testpolicy.json の内容:

      {
    "tags": {
        "CostCenter": {
            "tag_key": {
                "@@assign": "CostCenter"
            }
        }
    }
}

      このタグポリシーは、CostCenter タグキーを定義します。タグは任意の値を受け入れることができますが、値を受け入れなくても構いません。このようなポリシーでは、値の有無にかかわらず CostCenter タグの付いているリソースを準拠しているとみなします。

    2. ファイルにあるポリシーの内容を含むポリシーを作成します。出力が読みやすくなるように、余分な余白は切り詰められています。

      $ aws organizations create-policy \
    --name "MyTestTagPolicy" \
    --description "My Test policy" \
    --content file://testpolicy.json \
    --type TAG_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-a1b2c3d4e5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
            "Name": "MyTestTagPolicy",
            "Description": "My Test policy",
            "Type": "TAG_POLICY",
            "AwsManaged": false
        },
        "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
    }
}

  • AWS SDK: CreatePolicy
次のステップ

タグポリシーを作成したら、タグ付けルールを有効にできます。これを行うには、組織ルート、組織単位 (OU)、組織の AWS アカウント、またはこれらすべてにポリシーをアタッチします。

チャットボットポリシーを作成する

最小アクセス許可

チャットボットポリシーを作成するには、次のアクションを実行するアクセス許可が必要です。

  • organizations:CreatePolicy

AWS Management Console

AWS Management Consoleでチャットボットポリシーを作成するには、次の 2 つの方法があります。

  • オプションを選択し、JSON ポリシーテキストを生成できるビジュアルエディタ。

  • JSON ポリシーテキストを直接作成できるテキストエディタ。

ビジュアルエディタを使用すると、プロセスが簡単になりますが、柔軟性は制限されます。これは、最初のポリシーを作成し、使用に慣れるのに最適な方法です。これらの機能の仕組みを理解し、ビジュアルエディタが提供するものによって制限され始めたら、JSON ポリシーテキストを自分で編集して、ポリシーに高度な機能を追加できます。ビジュアルエディタは、@@assign 値設定演算子のみを使用し、子制御演算子へのアクセスは提供しません。子制御演算子は、JSON ポリシーテキストを手動で編集した場合にのみ追加できます。

チャットボットポリシーを作成するには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. チャットボットポリシーページで、[ポリシーの作成] を選択します。

  3. [新しいチャットボットポリシーの作成] ページで、[ポリシー名] と、オプションで [ポリシーの説明] を入力します。

  4. (オプション) [Add tag] (タグの追加) を選択してキーとオプションの値を入力することで、ポリシーに 1 つ以上のタグを追加できます。値を空白のままにすると、空の文字列が設定され、null にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「AWS Organizations リソースのタグ付け」を参照してください。

  5. この手順で説明するように、[ビジュアルエディタ] を使用してポリシーを構築できます。また、[JSON] タブにポリシーテキストを入力または貼り付けることもできます。チャットボットポリシーの構文については、「チャットボットポリシーの構文と例」を参照してください。

    [ビジュアルエディタ] を使用する場合は、チャットクライアントのアクセスコントロールを指定してチャットボットポリシーを設定します。

    1. [Amazon Chime チャットクライアントアクセスを設定する] には、次のいずれかを選択します。

      • Chime へのアクセスを拒否します。

      • Chime へのアクセスを許可します。

    2. [Microsoft Teams チャットクライアントアクセスを設定する] には、以下を選択します。

      • すべての Teams へのアクセスを拒否する

      • すべての Teams へのアクセスを許可する

      • 名前付き Teams へのアクセスを制限する

    3. [Slack チャットクライアントアクセスを設定する] には、次のいずれかを選択します。

      • すべての Slack ワークスペースへのアクセスを拒否する

      • すべての Slack ワークスペースへのアクセスを許可する

      • 名前付き Slack ワークパスへのアクセスを制限する

      注記

      さらに、[AWS Chatbot の使用量をプライベート Slack チャネル のみに制限] することもできます。

    4. [IAM アクセス許可タイプを設定する] には、次のオプションを選択します。

      • [チャネルレベルの IAM ロールを有効にする] – すべてのチャネルメンバーは、チャネルでタスクを実行するための IAM ロールのアクセス許可を共有します。チャネルメンバーが同じアクセス許可を必要とする場合、チャネルロールが適切です。

      • [ユーザーレベルの IAM ロールを有効にする] – チャネルメンバーはアクションを実行するために IAM ユーザーロールを選択する必要があります (ロールを選択するにはコンソールへのアクセスが必要です)。チャネルメンバーが異なるアクセス許可を必要とし、ユーザーロールを選択できる場合、ユーザーロールは適切です。

  6. ポリシーの作成が完了したら、[Create policy] (ポリシーの作成) を選択します。チャットボットバックアップポリシーのリストにポリシーが表示されます。

AWS CLI & AWS SDKs
チャットボットポリシーを作成するには

次のいずれかを使用して、チャットボットポリシーを作成できます。

  • AWS CLI: create-policy

    チャットボットポリシーの作成には任意のテキストエディタを使用できます。JSON 構文を使用し、チャットボットポリシーを任意の名前と拡張子を持つファイルとして任意の場所に保存します。チャットボットポリシーには、スペースを含めて最大 ? 文字を使用できます。タグポリシーの構文については、チャットボットポリシーの構文と例 を参照してください。

    チャットボットポリシーを作成するには

    1. 以下のようなチャットボットポリシーのテキストファイルを作成します。

      testpolicy.json の内容:

      {
   "chatbot": {
      "platforms": {
         "slack": {
            "client": {
               "@@assign": "enabled"
            },
            "workspaces": {
               "@@assign": [
                  "Slack-Workspace-Id"
               ]
            },
            "default": {
               "supported_channel_types": {
                  "@@assign": [
                     "private"
                  ]
               }
            }
         },
         "microsoft_teams": {
            "client": {
               "@@assign": "disabled"
            }
         }
      }
   }
}

      このチャットボットポリシーは、特定のワークスペース内のプライベート Slack チャネルのみを許可し、Microsoft Teams を無効にし、すべてのロール設定をサポートします。

    2. ファイルにあるポリシーの内容を含むポリシーを作成します。出力が読みやすくなるように、余分な余白は切り詰められています。

      $ aws organizations create-policy \
    --name "MyTestTagPolicy" \
    --description "My Test policy" \
    --content file://testpolicy.json \
    --type TAG_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-a1b2c3d4e5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/chatbot_policy/p-a1b2c3d4e5",
            "Name": "MyTestChatbotPolicy",
            "Description": "My Test policy",
            "Type": "CHATBOT_POLICY",
            "AwsManaged": false
        },
        "Content": "{"chatbot":{"platforms":{"slack":{"client":{"@@assign":"enabled"},"workspaces":{"@@assign":["Slack-Workspace-Id"]},"supported_channel_types":{"@@assign":["private"]}},"microsoft_teams":{"client":{"@@assign":"disabled"}}}}}"
    }
}

  • AWS SDK: CreatePolicy
次のステップ

チャットボットポリシーを作成したら、オプトアウト設定を有効にすることができます。これを行うには、組織ルート、組織単位 (OU)、組織内の AWS アカウント、またはこれらすべてにポリシーをアタッチします。

AI サービスのオプトアウトポリシーを作成する

最小アクセス許可

AI サービスのオプトアウトポリシーを作成するには、次のアクションを実行するアクセス許可が必要です。

  • organizations:CreatePolicy

AWS Management Console
AI サービスのオプトアウトポリシーを作成するには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. AI サービスのオプトアウトポリシーページで、[Create policy] (ポリシーの作成) を選択します。

  3. [Create new AI services opt-out policy] (新しい AI サービスのオプトアウトポリシーの作成) ページで、ポリシー名ポリシーの説明を入力します。

  4. (オプション) [Add tag] (タグの追加) を選択してキーとオプションの値を入力することで、ポリシーに 1 つ以上のタグを追加できます。値を空白のままにすると、空の文字列が設定され、null にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「AWS Organizations リソースのタグ付け」を参照してください。

  5. [JSON] タブで、ポリシーテキストを入力するか貼り付けます。AI サービスのオプトアウトポリシーの構文について詳しくは、AI サービスのオプトアウトポリシーの構文と例 を参照してください。開始点として使用できるサンプルポリシーについては、AI サービスのオプトアウトポリシーの例 を参照してください。

  6. ポリシーの編集が完了したら、ページの右下隅の [Create policy] (ポリシーの作成) を選択します。

AWS CLI & AWS SDKs
AI サービスのオプトアウトポリシーを作成するには

次のいずれかを使用して、タグポリシーを作成できます。

  • AWS CLI: create-policy

    1. 次のような AI サービスのオプトアウトポリシーを作成し、テキストファイルとして保存します。「optOut」と「optIn」では大文字と小文字が区別されます。

      {
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

      この AI サービスのオプトアウトポリシーは、ポリシーの影響を受けるすべてのアカウントが、Amazon Rekognition を除くすべての AI サービスからオプトアウトされるように指定します。

    2. JSON ポリシーファイルをインポートして、組織内に新しいポリシーを作成します。この例では、先に扱った JSON ファイルは policy.json という名前になっています。

      $ aws organizations create-policy \
    --type AISERVICES_OPT_OUT_POLICY \
    --name "MyTestPolicy" \
    --description "My test policy" \
    --content file://policy.json
{
    "Policy": {
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5"
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Description": "My test policy",
            "Name": "MyTestPolicy",
            "Type": "AISERVICES_OPT_OUT_POLICY"
        }
    }
}

  • AWS SDK: CreatePolicy
次のステップ

AI サービスのオプトアウトポリシーを作成したら、オプトアウト設定を有効にすることができます。これを行うには、組織ルート、組織単位 (OU)、組織内の AWS アカウント、またはこれらすべてにポリシーをアタッチします。