AWS Organizations および のサービスコントロールポリシーの例 AWS RAM - AWS Resource Access Manager
前提条件サービスコントロールポリシーの例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Organizations および のサービスコントロールポリシーの例 AWS RAM

AWS RAM は、サービスコントロールポリシー (SCPsをサポートします。SCP は、組織内のアクセス許可を管理する目的で組織内の要素にアタッチされるポリシーです。SCP は、SCP AWS アカウント をアタッチする 要素のすべての に適用されます。SCP では、組織のすべてのアカウントで使用可能な最大アクセス許可を一元的に制御できます。これらは、組織のアクセスコントロールガイドラインを確実に AWS アカウント 順守するのに役立ちます。詳細については、AWS Organizations ユーザーガイドの「サービスコントロールポリシー」を参照してください。

前提条件

SCP を使用するには、まず以下のことをする必要があります。

  • 組織内のすべての機能の有効化。詳細については、AWS Organizations ユーザーガイドの「組織内のすべての機能の有効化」を参照してください。

  • SCP を有効にして組織内で使用できるようにするには 詳細については、AWS Organizations ユーザーガイドの「ポリシータイプの有効化と無効化」を参照してください。

  • 必要な SCP を作成します。SCP の作成の詳細については、AWS Organizations ユーザーガイドの「SCP の作成および更新」を参照してください。

サービスコントロールポリシーの例

以下の例では、組織内のリソース共有のさまざまな側面を制御する方法を説明します。

例 1: 外部共有を禁止する

以下の SCP は、共有ユーザーの組織外にいるプリンシパルとの共有を許可するリソース共有をユーザーが作成できないようにするものです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}

例 2: 組織外の外部アカウントからのリソース共有への招待をユーザーが受け付けないようにする

次の SCP は、影響を受けるアカウントのプリンシパルがリソース共有を使用する招待を受け入れることをブロックします。共有アカウントと同じ組織内の他のアカウントと共有されているリソース共有では招待状は生成されないため、この SCP の影響を受けません。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ram:AcceptResourceShareInvitation",
            "Resource": "*"
        }
    ]
}

例 3: 特定のアカウントに特定のリソースタイプの共有を許可する

以下の SCP では、アカウント 111111111111222222222222 のみが、Amazon EC2 プレフィックスリストを共有する新しいリソース共有を作成し、プレフィックスリストを既存のリソース共有に関連付けることができます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEqualsIfExists": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}

例 4: 組織全体または組織単位との共有を禁止する

次の SCP は、組織全体または任意の組織単位とリソースを共有するリソース共有をユーザーが作成できないようにします。ユーザーは、組織 AWS アカウント 内の個人、または IAM ロールやユーザーと共有できます

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}

例 5: 特定のプリンシパルのみとの共有を許可する

以下の SCP の例では、ユーザーは組織 o-12345abcdef,、組織単位 ou-98765fedcba、および AWS アカウント 111111111111 のみとリソースを共有できます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ram:AssociateResourceShare",
        "ram:CreateResourceShare"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "ram:Principal": [
            "arn:aws:organizations::123456789012:organization/o-12345abcdef",
            "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
            "111111111111"
          ]
        },
        "Null": {
          "ram:Principal": "false"
        }
      }
    }
  ]
}