継承演算子 - AWS Organizations
値設定演算子子制御演算子

継承演算子

継承演算子は、アカウントの有効なポリシーが作成される際に、継承されたポリシーとアカウントポリシーがどのようにマージされるかを制御します。これらの演算子には、値設定演算子と子制御演算子が含まれます。

AWS Organizations コンソールでビジュアルエディタを使用する場合は、@@assign 演算子のみを使用できます。他の演算子は、アドバンスト機能とみなされます。他の演算子を使用するには、JSON ポリシーを手動で作成する必要があります。経験豊富なポリシーの作成者は、継承演算子を使用して、有効なポリシーに適用するタグ値を制御し、子ポリシーがどのような変更を行うことができるかを制限できます。

値設定演算子

次の値設定演算子を使用して、ポリシーと親ポリシーとの相互作用を制御できます。

  • @@assign - 継承されたポリシー設定を指定した設定で上書きします。指定した設定が継承されていない場合、この演算子はその設定を有効なポリシーに追加します。この演算子は、任意のタイプのポリシー設定に適用できます。

    • 単一値の設定の場合、この演算子は、継承された値を指定された値に置き換えます。

    • 複数値設定 (JSON 配列) の場合、この演算子は、継承された値をすべて削除し、このポリシーで指定された値に置き換えます。

  • @@append - 継承された設定に、指定した設定を (一切削除せずに) 追加します。指定した設定が継承されていない場合、この演算子はその設定を有効なポリシーに追加します。この演算子は、複数値の設定でのみ使用できます。

    • この演算子は、指定された値を継承された配列内の任意の値に追加します。

  • @@remove - 継承された指定の設定を有効なポリシーから削除します (存在する場合)。この演算子は、複数値の設定でのみ使用できます。

    • この演算子は、親ポリシーから継承された値の配列から、指定された値のみを削除します。他の値は配列内に引き続き存在することができ、子ポリシーによって継承できます。

子制御演算子

制御演算子の使用はオプションです。@@operators_allowed_for_child_policies 演算子を使用して、子ポリシーで使用できる値設定演算子を制御できます。すべての演算子、一部の演算子を許可するか、または演算子を一切許可しないという選択肢があります。デフォルトでは、すべての演算子 (@@all) が許可されます。

  • "@@operators_allowed_for_child_policies": ["@@all"] - 子 OU とアカウントは、ポリシーの任意の演算子を使用できます。デフォルトでは、子ポリシーですべての演算子が許可されます。

  • "@@operators_allowed_for_child_policies": ["@@assign", "@@append", "@@remove"] - 子 OU とアカウントは、子ポリシーで指定された演算子のみを使用できます。この子制御演算子では、1 つ以上の値設定演算子を指定できます。

  • "@@operators_allowed_for_child_policies": ["@@none"] - 子 OU とアカウントは、ポリシーの演算子を使用できません。この演算子を使用して、子ポリシーがこれらの値を追加、付加、または削除できないように、親ポリシーで定義されている値で効果的にロックできます。

注記

継承された子制御演算子によって演算子の使用が制限されている場合、子ポリシーでそのルールを元に戻すことはできません。親ポリシーに子制御演算子を含めると、すべての子ポリシーの値設定演算子が制限されます。