AWS マネージドポリシー Organizations AWS 管理ポリシーの更新 AWS マネージドサービスコントロールポリシー

AWS のマネージドポリシー AWS Organizations

このセクションでは、組織の管理に使用する AWSマネージドポリシーについて説明します。 AWS 管理ポリシーを変更または削除することはできませんが、必要に応じて組織内のエンティティにアタッチまたはデタッチできます。

AWS OrganizationsAWS Identity and Access Management （IAM) で使用するマネージドポリシー

IAM 管理ポリシーは、によって提供および管理されます AWS。管理ポリシーは、適切なユーザーまたはロールオブジェクトに管理ポリシーをアタッチすることでIAM、ユーザーに割り当てることができる一般的なタスクのアクセス許可を提供します。ポリシーを自分で記述する必要はありません。新しいサービスをサポートするためにが必要に応じてポリシー AWS を更新すると、自動的にすぐに更新のメリットが得られます。 AWS 管理ポリシーのリストは、 IAMコンソールのポリシーページに表示されます。[Filter policies] (フィルターポリシー) のドロップダウンを使用して、[AWS managed] ( マネージド) を選択します。

これらの管理ポリシーを使用して、組織内のユーザーにアクセス許可を付与できます。

AWS 管理ポリシー：AWSOrganizationsFullAccess

組織を作成し、完全に管理するために必要なすべてのアクセス許可を提供します。

ポリシーを表示: AWSOrganizationsFullAccess。

AWS 管理ポリシー：AWSOrganizationsReadOnlyAccess

組織に関する情報への読み取り専用アクセスを提供します。ユーザーがこれに変更を加えることはできません。

ポリシーを表示: AWSOrganizationsReadOnlyAccess。

AWS 管理ポリシー：DeclarativePoliciesEC2Report

このポリシーは、AWSServiceRoleForDeclarativePoliciesEC2Reportサービスにリンクされたロールによって使用され、メンバーアカウントのアカウント属性の状態を記述できるようにします。

ポリシーを表示: DeclarativePoliciesEC2Report。

Organizations AWS 管理ポリシーの更新

次の表は、このサービスがこれらの変更の追跡を開始してからの AWS マネージドポリシーの更新の詳細を示しています。このページの変更に関する自動アラートを受け取るには、AWS Organizations ドキュメント履歴ページのRSSフィードにサブスクライブします。

変更	説明	日付
新しいマネージドポリシー - DeclarativePoliciesEC2Report	AWSServiceRoleForDeclarativePoliciesEC2Report サービスにリンクされたロールの機能を有効にする`DeclarativePoliciesEC2Report`ポリシーを追加しました。	2024 年 11 月 22 日
AWSOrganizationsReadOnlyAccess – ルートユーザーの E メールアドレスを表示するために必要なアカウントAPIアクセス許可を許可するように更新されました。	Organizations により `account:GetPrimaryEmail` アクションが追加され、組織内の任意のメンバーアカウントについて、ルートユーザーの E メールアドレスを表示できるようになりました。また、`account:GetRegionOptStatus` アクションが追加され、組織内の任意のメンバーアカウントの有効なリージョンを表示することもできるようになりました。	2024 年 6 月 6 日
AWSOrganizationsFullAccess – ポリシーステートメントを記述する`Sid`要素を含めるように更新されました。	Organizations により、`AWSOrganizationsFullAccess` マネージドポリシーの `Sid` 要素が追加されました。	2024 年 2 月 6 日
AWSOrganizationsReadOnlyAccess – ポリシーステートメントを記述する`Sid`要素を含めるように更新されました。	Organizations により、`AWSOrganizationsReadOnlyAccess` マネージドポリシーの `Sid` 要素が追加されました。	2024 年 2 月 6 日
AWSOrganizationsFullAccess – Organizations コンソール AWS リージョンを介して有効または無効にするために必要なアカウントAPIアクセス許可を許可するように更新されました。	Organizations では、ポリシーに `account:ListRegions`、`account:EnableRegion`、および `account:DisableRegion` アクションを追加して、アカウントのリージョンを有効または無効にするための書き込みアクセスを有効にしました。	2022 年 12 月 22 日
AWSOrganizationsReadOnlyAccess – Organizations コンソール AWS リージョンを介して一覧表示するために必要なアカウントAPIアクセス許可を許可するように更新されました。	Organizations では、ポリシーに `account:ListRegions` アクションを追加して、アカウントのリージョンを表示するためのアクセスを有効にしました。	2022 年 12 月 22 日
AWSOrganizationsFullAccess – Organizations コンソールを介してアカウントの連絡先を追加または編集するために必要なアカウントのAPIアクセス許可を許可するように更新されました。	Organizations では、ポリシーに `account:GetContactInformation` および `account:PutContactInformation` アクションを追加して、アカウントの連絡先を変更するための書き込みアクセスを有効にしました。	2022 年 10 月 21 日
AWSOrganizationsReadOnlyAccess – Organizations コンソールを介してアカウントの連絡先を表示するために必要なアカウントのAPIアクセス許可を許可するように更新されました。	Organizations では、ポリシーに `account:GetContactInformation` アクションを追加して、アカウントの連絡先を表示するためのアクセスを有効にしました。	2022 年 10 月 21 日
AWSOrganizationsFullAccess – 組織の作成を許可するように更新されました。	Organizations では、組織の作成に必要なサービスリンクロールの作成できるようにするために、ポリシーに `CreateServiceLinkedRole` アクセス許可を追加しました。アクセス許可は、`organizations.amazonaws.com` のサービスのみで使用できるロールの作成に制限されています。	2022 年 8 月 24 日
AWSOrganizationsFullAccess – Organizations コンソールを介してアカウントの代替連絡先を追加、編集、または削除するために必要なアカウントのAPIアクセス許可を許可するように更新されました。	Organizations では、アカウントの代替連絡先を変更するための書き込みアクセスを有効にする `account:GetAlternateContact`、`account:DeleteAlternateContact`、および `account:PutAlternateContact` アクションがポリシーに追加されました。	2022 年 2 月 7 日
AWSOrganizationsReadOnlyAccess – Organizations コンソールを介してアカウントの代替連絡先を表示するために必要なアカウントのAPIアクセス許可を許可するように更新されました。	Organizations では、アカウントの代替連絡先を表示するためのアクセスを有効にする `account:GetAlternateContact` アクションがポリシーに追加されました。	2022 年 2 月 7 日

AWS Organizations マネージドサービスコントロールポリシー

サービスコントロールポリシー (SCPs）はアクセスIAM許可ポリシーに似ていますが、 AWS Organizations ではなくの機能ですIAM。を使用してSCPs、影響を受けるエンティティの最大アクセス許可を指定します。SCPs 組織内のルート、組織単位 (OUs）、またはアカウントにアタッチできます。自分で作成することも、IAM で定義したポリシーを使用することもできます。Organizations コンソールの [Policies] (ポリシー) ページに、組織内のポリシーのリストが表示されます。

重要

すべてのルート、OU、およびアカウントには、常に少なくとも 1 つのアSCPタッチされている必要があります。

ポリシー名	説明	ARN
FullAWSAccess	メンバーアカウントへの AWS Organizations 管理アカウントアクセスを提供します。	arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

リソースベースのポリシーの例

タグによる属性ベースのアクセスコントロール

AWS の マネージドポリシー AWS Organizations

AWS OrganizationsAWS Identity and Access Management （IAM) で使用する マネージドポリシー