翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Organizations および のサービスコントロールポリシーの例 AWS RAM
AWS RAM は、サービスコントロールポリシー (SCPsをサポートしています。SCP は、組織内のアクセス許可を管理する目的で組織内の要素にアタッチされるポリシーです。SCP は、 AWS アカウント [SCP をアタッチする要素の下にあるすべての ](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html)に適用されます。SCP では、組織のすべてのアカウントで使用可能な最大アクセス許可を一元的に制御できます。これらは、組織のアクセスコントロールガイドラインを確実に AWS アカウント 順守するのに役立ちます。詳細については、*AWS Organizations ユーザーガイド*の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html)」を参照してください。
## 前提条件
SCP を使用するには、まず以下のことをする必要があります。
+ 組織内のすべての機能の有効化。詳細については、[AWS Organizations ユーザーガイド](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)の「*組織内のすべての機能の有効化*」を参照してください。
+ SCP を有効にして組織内で使用できるようにするには 詳細については、*AWS Organizations ユーザーガイド*の「[ポリシータイプの有効化と無効化](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html)」を参照してください。
+ 必要な SCP を作成します。SCP の作成の詳細については、*AWS Organizations ユーザーガイド*の「[SCP の作成および更新](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html)」を参照してください。
## サービスコントロールポリシーの例
**Contents**
+ [例 1: 外部共有を禁止する](#example-one)
+ [例 2: 組織外の外部アカウントからのリソース共有への招待をユーザーが受け付けないようにする](#example-two)
+ [例 3: 特定のアカウントに特定のリソースタイプの共有を許可する](#example-three)
+ [例 4: 組織全体または組織単位との共有を禁止する](#example-four)
+ [例 5: 特定のプリンシパルのみとの共有を許可する](#example-five)
+ [例 6: RetainSharingOnAccountLeaveOrganization を有効にしてリソース共有を防止する](#example-six)
以下の例では、組織内のリソース共有のさまざまな側面を制御する方法を説明します。
### 例 1: 外部共有を禁止する
以下の SCP は、共有ユーザーの組織外にいるプリンシパルとの共有を許可するリソース共有をユーザーが作成できないようにするものです。
AWS RAM はAPIs を個別に承認します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
]
}
```
------
### 例 2: 組織外の外部アカウントからのリソース共有への招待をユーザーが受け付けないようにする
次の SCP は、影響を受けるアカウントのプリンシパルがリソース共有を使用する招待を受け入れることをブロックします。共有アカウントと同じ組織内の他のアカウントと共有されているリソース共有では招待状は生成されないため、この SCP の影響を受けません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ram:AcceptResourceShareInvitation",
"Resource": "*"
}
]
}
```
------
### 例 3: 特定のアカウントに特定のリソースタイプの共有を許可する
以下の SCP では、アカウント `111111111111` と `222222222222` *のみ*が、Amazon EC2 プレフィックスリストを共有する新しいリソース共有を作成し、プレフィックスリストを既存のリソース共有に関連付けることができます。
AWS RAM はAPIs を個別に承認します。
演算子 `StringEqualsIfExists` は、リクエストにリソースタイプパラメータが含まれていない場合、またはそのパラメータが含まれている場合はその値が指定したリソースタイプと完全に一致する場合に、リクエストを許可します。プリンシパルを含める場合は、`...IfExists` が必要です。
`...IfExists` 演算子を使用するタイミングと理由の詳細については、「**IAM ユーザーズガイド」の「[...IfExists 条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
},
"StringEqualsIfExists": {
"ram:RequestedResourceType": "ec2:PrefixList"
}
}
}
]
}
```
------
### 例 4: 組織全体または組織単位との共有を禁止する
次の SCP は、組織全体または任意の組織単位とリソースを共有するリソース共有をユーザーが作成できないようにします。ユーザーは、組織 AWS アカウント 内の個人、または IAM ロールまたはユーザーと共有*できます*。
AWS RAM はAPIs を個別に承認します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:organization/*",
"arn:aws:organizations::*:ou/*"
]
}
}
}
]
}
```
------
### 例 5: 特定のプリンシパルのみとの共有を許可する
以下の SCP の例では、ユーザーは組織 `o-12345abcdef,`、組織単位 `ou-98765fedcba`、および AWS アカウント `111111111111` *のみ*とリソースを共有できます。
`StringNotEqualsIfExists` のような否定条件演算子を持つ `"Effect": "Deny"` 要素を使用している場合は、条件キーがなくてもリクエストが拒否されます。`Null` 条件演算子を使用して、認可時に条件キーが存在していないかどうかを確認します。
AWS RAM はAPIs を個別に承認します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": [
"arn:aws:organizations::123456789012:organization/o-12345abcdef",
"arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
"111111111111"
]
},
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
### 例 6: RetainSharingOnAccountLeaveOrganization を有効にしてリソース共有を防止する
次の SCP は、`ram:RetainSharingOnAccountLeaveOrganization`条件キーが に設定されている場合に、ユーザーがリソース共有を作成または変更できないようにします`true`。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare",
"ram:DisassociateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RetainSharingOnAccountLeaveOrganization": "true"
}
}
}
]
}
```