

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# の委任管理者 AWS Organizations
<a name="orgs_delegate_policies"></a>

 AWS Organizations 管理アカウントとそのユーザーとロールは、そのアカウントで実行する必要があるタスクにのみ使用することをお勧めします。また、すべての  AWS  リソースを組織内の他のメンバーアカウントに保存し、管理アカウントからは切り離すことをおすすめします。これは、Organizations のサービスコントロールポリシー (SCP) などのセキュリティ機能は、管理アカウントのユーザーやロールに制限を加えることができないためです。

組織の管理アカウントから、ポリシー管理を Organizations の指定のメンバーアカウントに委任して、デフォルトでは管理アカウントのみが使用できるポリシーアクションを実行できます。

リソースベースの委任ポリシーの例については、「[のリソースベースのポリシーの例 AWS Organizations](security_iam_resource-based-policy-examples.md)」を参照してください。

**Topics**
+ [リソースベースの委任ポリシーを作成する](orgs-policy-delegate.md)
+ [リソースベースの委任ポリシーを更新する](orgs-policy-delegate-update.md)
+ [リソースベースの委任ポリシーを表示する](view-delegated-resource-based-policy.md)
+ [リソースベースの委任ポリシーを削除する](delete-delegated-resource-based-policy.md)

# を使用してリソースベースの委任ポリシーを作成する AWS Organizations
<a name="orgs-policy-delegate"></a>

管理アカウントから、組織のリソースベースの委任ポリシーを作成し、ポリシーに対してアクションを実行できるメンバーアカウントを指定するステートメントを追加します。ポリシーに複数のステートメントを追加して、メンバーアカウントにさまざまなアクセス許可を示すことができます。

**最小アクセス許可**  
リソースベースの委任ポリシーを作成するには、次のアクションを実行するアクセス許可が必要です。  
`organizations:PutResourcePolicy`
`organizations:DescribeResourcePolicy` 
また、必要なアクションに対応する IAM アクセス許可を委任された管理者アカウントのロールとユーザーに付与する必要があります。IAM アクセス許可がない場合、呼び出し元のプリンシパルには AWS Organizations ポリシーを管理するために必要なアクセス許可がないと見なされます。

------
#### [ AWS マネジメントコンソール ]

次のいずれかの方法を使用して、 AWS マネジメントコンソール のリソースベースの委任ポリシーにステートメントを追加します。
+ **JSON ポリシー** – リソースベースの委任ポリシーの例を貼り付けてカスタマイズしてアカウントで使用するか、JSON エディタでの独自の JSON ポリシードキュメントを入力します。
+ **ビジュアルエディタ** — ビジュアルエディタで新しい委任ポリシーを作成します。これにより、JSON 構文を記述せずに委任ポリシーを作成できます。

**JSON ポリシーエディタを使用して委任ポリシーを作成する**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。

1. **[設定]** を選択します。

1. **[ AWS Organizations の委任管理者]**セクションで、**[委任]** を選択して Organizations 委任ポリシーを作成します。

1. JSON ポリシードキュメントを入力します。IAM ポリシー言語の詳細については、 「[IAM JSON ポリシー](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies.html)リファレンス」を参照してください。

1. ポリシーの検証中に生成された[セキュリティ警告、エラー、または一般的な警告](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)を解決し、**[Create policy]** (ポリシーの作成) を選択して作業を保存します。

**ビジュアルエディタを使用して、委任ポリシーを作成する**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。

1. **[設定]** を選択します。

1. **[ AWS Organizations の委任管理者]**セクションで、**[委任]** を選択して Organizations 委任ポリシーを作成します。

1. **[Create Delegation policy]** (委任ポリシーの作成) ページで、**[Add new statement]** (新しいステートメントを追加)を選択します。

1. **[Effect]** (効果) を `Allow` に設定します。

1. `Principal` を追加して委任したいメンバーアカウントを定義します。

1. **[Actions]** (アクション) のリストから、委任するアクションを選択します。**[Filter actions]** (アクションのフィルタ)を使用して選択を絞り込むことができます。

1. 委任されたメンバーアカウントが組織ルートまたは組織単位 (OU) にポリシーをアタッチできるかどうかを指定するには、`Resources` を設定します。また、リソースタイプとして `policy` を選択する必要があります。リソースは次の方法で指定できます。
   + **[Add a resource]** (リソースの追加) を選択し、ダイアログボックスのプロンプトに従って Amazon リソースネーム (ARN) を作成します。
   + エディタでリソース ARN を手動で一覧表示します。ARN 構文の詳細については、「 AWS 全般のリファレンスガイド」の[「Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。ポリシーのリソース要素で ARN を使用する方法については、「[IAM JSON ポリシー要素: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)」を参照してください。

1. 委任するポリシータイプなど、他の条件を指定するには、**[Add a condition]** (条件の追加) を選択します。条件の **[Condition key]** (条件キー)、**[Tag key]** (タグキー)、**[Qualifier]** (修飾子)、**[Operator]** (演算子) を選択し、**Value** を入力します。完了したら、**[Add condition]** (条件の追加) を選択します。条件要素の詳細については、「[IAM JSON ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」の「**IAM JSON ポリシーの要素: 条件**」を参照してください。

1. さらにアクセス許可ブロックを追加するには、**[Add new statement]** (新しいステートメントを追加) を選択します。各ブロックに対して、ステップ 5 から 9 を繰り返します。

1. [ポリシーの検証](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)で生成されたセキュリティ警告、エラー、または一般的な警告を解決し、**[Create policy]** (ポリシーの作成) を選択して作業を保存します。

------
#### [ AWS CLI & AWS SDKs ]

**委任ポリシーを作成する**  
以下のコマンドを使用して委任ポリシーを作成できます。
+ AWS CLI: [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/put-resource-policy.html)

  以下は、委任ポリシーを作成する例です。

  ```
  $ aws organizations put-resource-policy --content
  {
      "Version": "2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "Fully_manage_backup_policies",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "135791357913"
              },
              "Action": [
                  "organizations:DescribeOrganization",
                  "organizations:ListAccounts",
                  "organizations:CreatePolicy",
                  "organizations:DescribePolicy",
                  "organizations:UpdatePolicy",
                  "organizations:DeletePolicy",
                  "organizations:AttachPolicy",
                  "organizations:DetachPolicy"
              ],
              "Resource": [
                  "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                  "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                  "arn:aws:organizations::246802468024:account/o-abcdef/*",
                  "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
              ],
              "Condition": {
                  "StringLikeIfExists": {
                      "organizations:PolicyType": [
                          "BACKUP_POLICY"
                      ]
                  }
              }
          }
      ]
  }
  ```
+ AWS SDK: [PutResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_PutResourcePolicy.html)

------

**サポート対象の委任ポリシーのアクション**  
委任ポリシーでは、次のアクションがサポートされています。
+ `AttachPolicy`
+ `CreatePolicy`
+ `DeletePolicy`
+ `DescribeAccount`
+ `DescribeCreateAccountStatus`
+ `DescribeEffectivePolicy`
+ `DescribeHandshake`
+ `DescribeOrganization`
+ `DescribeOrganizationalUnit`
+ `DescribePolicy`
+ `DescribeResourcePolicy`
+ `DetachPolicy`
+ `DisablePolicyType`
+ `EnablePolicyType`
+ `ListAccounts`
+ `ListAccountsForParent`
+ `ListAWSServiceAccessForOrganization`
+ `ListChildren`
+ `ListCreateAccountStatus`
+ `ListDelegatedAdministrators`
+ `ListDelegatedServicesForAccount`
+ `ListHandshakesForAccount`
+ `ListHandshakesForOrganization`
+ `ListOrganizationalUnitsForParent`
+ `ListParents`
+ `ListPolicies`
+ `ListPoliciesForTarget`
+ `ListRoots`
+ `ListTagsForResource`
+ `ListTargetsForPolicy`
+ `TagResource`
+ `UntagResource`
+ `UpdatePolicy`

**サポートされている条件キー**  
委任ポリシーに使用できるのは AWS Organizations 、 でサポートされている条件キーのみです。詳細については、「*Service Authorization Reference*」の「[Condition keys for AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys)」を参照してください。

# でリソースベースの委任ポリシーを更新する AWS Organizations
<a name="orgs-policy-delegate-update"></a>

管理アカウントから、組織のリソースベースの委任ポリシーを更新し、ポリシーに対してアクションを実行できるメンバーアカウントを指定するステートメントを追加します。ポリシーに複数のステートメントを追加して、メンバーアカウントにさまざまなアクセス許可を示すことができます。

**最小アクセス許可**  
リソースベースの委任ポリシーを更新するには、次のアクションを実行するアクセス許可が必要です。  
`organizations:PutResourcePolicy`
`organizations:DescribeResourcePolicy` 
また、必要なアクションに対応する IAM アクセス許可を委任された管理者アカウントのロールとユーザーに付与する必要があります。IAM アクセス許可がない場合、呼び出し元のプリンシパルには AWS Organizations ポリシーを管理するために必要なアクセス許可がないと見なされます。

------
#### [ AWS マネジメントコンソール ]

次のいずれかの方法を使用して、 AWS マネジメントコンソール のリソースベースの委任ポリシーにステートメントを追加します。
+ **JSON ポリシー** – リソースベースの委任ポリシーの例を貼り付けてカスタマイズしてアカウントで使用するか、JSON エディタでの独自の JSON ポリシードキュメントを入力します。
+ **ビジュアルエディタ** — ビジュアルエディタで新しい委任ポリシーを作成します。これにより、JSON 構文を記述せずに委任ポリシーを作成できます。

**JSON ポリシーエディタを使用して委任ポリシーを更新する**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。

1. **[設定]** を選択します。

1. **[ AWS Organizationsの委任管理者]** セクションで、**[編集]** を選択して Organizations 委任ポリシーを更新します。

1. JSON ポリシードキュメントを入力します。IAM ポリシー言語の詳細については、「[IAM JSON ポリシーリファレンス](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies.html)」を参照してください。

1. ポリシーの検証中に生成された[セキュリティ警告、エラー、または一般的な警告](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)を解決してから、**[ポリシーの作成]** を選択します。

**ビジュアルエディタを使用して、委任ポリシーを更新します。**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。

1. **[設定]** を選択します。

1. **[ AWS Organizationsの委任管理者]** セクションで、**[編集]** を選択して Organizations 委任ポリシーを更新します。

1. **[Create Delegation policy]** (委任ポリシーの作成) ページで、**[Add new statement]** (新しいステートメントを追加)を選択します。

1. **[Effect]** (効果) を `Allow` に設定します。

1. `Principal` を追加して委任したいメンバーアカウントを定義します。

1. **[Actions]** (アクション) のリストから、委任するアクションを選択します。**[Filter actions]** (アクションのフィルタ)を使用して選択を絞り込むことができます。

1. 委任されたメンバーアカウントが組織ルートまたは組織単位 (OU) にポリシーをアタッチできるかどうかを指定するには、`Resources` を設定します。また、リソースタイプとして `policy` を選択する必要があります。リソースは次の方法で指定できます。
   + **[Add a resource]** (リソースの追加) を選択し、ダイアログボックスのプロンプトに従って Amazon リソースネーム (ARN) を作成します。
   + エディタでリソース ARN を手動で一覧表示します。ARN 構文の詳細については、「 AWS 全般のリファレンスガイド」の[「Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。ポリシーのリソース要素で ARN を使用する方法については、「[IAM JSON ポリシー要素: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)」を参照してください。

1. 委任するポリシータイプなど、他の条件を指定するには、**[Add a condition]** (条件の追加) を選択します。条件の **[Condition key]** (条件キー)、**[Tag key]** (タグキー)、**[Qualifier]** (修飾子)、**[Operator]** (演算子) を選択し、**Value** を入力します。完了したら、**[Add condition]** (条件の追加) を選択します。条件要素の詳細については、「[IAM JSON ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」の「**IAM JSON ポリシーの要素: 条件**」を参照してください。

1. さらにアクセス許可ブロックを追加するには、**[Add new statement]** (新しいステートメントを追加) を選択します。各ブロックに対して、ステップ 5 から 9 を繰り返します。

1. [ポリシーの検証](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)中に生成されたセキュリティ警告、エラー、または一般的な警告を解決を選択してから、**[ポリシーの保存]** を選択します。

------
#### [ AWS CLI & AWS SDKs ]

**委任ポリシーを作成または更新する**  
以下のコマンドを使用して委任ポリシーを作成または更新できます。
+ AWS CLI: [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/put-resource-policy.html)

  以下は委任ポリシーを作成または更新する例です。

  ```
  $ aws organizations put-resource-policy --content
  {
      "Version": "2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "Fully_manage_backup_policies",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "135791357913"
              },
              "Action": [
                  "organizations:DescribeOrganization",
                  "organizations:ListAccounts",
                  "organizations:CreatePolicy",
                  "organizations:DescribePolicy",
                  "organizations:UpdatePolicy",
                  "organizations:DeletePolicy",
                  "organizations:AttachPolicy",
                  "organizations:DetachPolicy"
              ],
              "Resource": [
                  "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                  "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                  "arn:aws:organizations::246802468024:account/o-abcdef/*",
                  "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
              ],
              "Condition": {
                  "StringLikeIfExists": {
                      "organizations:PolicyType": [
                          "BACKUP_POLICY"
                      ]
                  }
              }
          }
      ]
  }
  ```
+ AWS SDK: [PutResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_PutResourcePolicy.html)

------

**サポート対象の委任ポリシーのアクション**  
委任ポリシーでは、次のアクションがサポートされています。
+ `AttachPolicy`
+ `CreatePolicy`
+ `DeletePolicy`
+ `DescribeAccount`
+ `DescribeCreateAccountStatus`
+ `DescribeEffectivePolicy`
+ `DescribeHandshake`
+ `DescribeOrganization`
+ `DescribeOrganizationalUnit`
+ `DescribePolicy`
+ `DescribeResourcePolicy`
+ `DetachPolicy`
+ `DisablePolicyType`
+ `EnablePolicyType`
+ `ListAccounts`
+ `ListAccountsForParent`
+ `ListAWSServiceAccessForOrganization`
+ `ListChildren`
+ `ListCreateAccountStatus`
+ `ListDelegatedAdministrators`
+ `ListDelegatedServicesForAccount`
+ `ListHandshakesForAccount`
+ `ListHandshakesForOrganization`
+ `ListOrganizationalUnitsForParent`
+ `ListParents`
+ `ListPolicies`
+ `ListPoliciesForTarget`
+ `ListRoots`
+ `ListTagsForResource`
+ `ListTargetsForPolicy`
+ `TagResource`
+ `UntagResource`
+ `UpdatePolicy`

**サポートされている条件キー**  
委任ポリシーに使用できるのは AWS Organizations 、 でサポートされている条件キーのみです。詳細については、「*Service Authorization Reference*」の「[Condition keys for AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys)」を参照してください。

# でリソースベースの委任ポリシーを表示する AWS Organizations
<a name="view-delegated-resource-based-policy"></a>

管理アカウントから、組織のリソースベースの委任ポリシーを表示して、どの委任管理者がどのポリシータイプを管理できるかを把握できます。

**最小アクセス許可**  
リソースベースのデリゲーションポリシーを表示するには、`organizations:DescribeResourcePolicy` のアクションを実行するアクセス許可が必要です。

------
#### [ AWS マネジメントコンソール ]

**委任ポリシーを表示するには**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。

1. **[設定]** を選択します。

1. **[ AWS Organizations の委任管理者]**セクションをスクロールして、委任ポリシー全体を表示します。

------
#### [ AWS CLI & AWS SDKs ]

**委任ポリシーを表示する**  
以下のコマンドを使用して委任ポリシーを表示できます。
+ AWS CLI: [describe-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-resource-policy.html)

  以下はポリシーを取得する例です。

  ```
  $ aws organizations describe-resource-policy
  ```
+ AWS SDK: [DescribeResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeResourcePolicy.html)

------

# を使用してリソースベースの委任ポリシーを削除する AWS Organizations
<a name="delete-delegated-resource-based-policy"></a>

組織内のポリシーの管理を委任する必要がなくなった場合、リソースベースの委任ポリシーを組織の管理アカウントから削除できます。

**重要**  
リソースベースの委任ポリシーを削除した場合、回復できません。

**最小アクセス許可**  
リソースベースのデリゲーションポリシーを削除するには、`organizations:DeleteResourcePolicy` のアクションを実行するアクセス許可が必要です。

------
#### [ AWS マネジメントコンソール ]

**委任ポリシーを削除するには**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。

1. **[設定]** を選択します。

1. **[ AWS Organizations の委任管理者]**セクションで、**[削除]**を選択します。

1. **[Detach policy]** (ポリシーの削除) のダイアログボックスで、 **delete** を入力します。**[Delete policy]** (ポリシーの削除) を選択します。

------
#### [ AWS CLI & AWS SDKs ]

**委任ポリシーを削除する**  
以下のコマンドを使用して委任ポリシーを削除できます。
+ AWS CLI: [delete-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/delete-resource-policy.html)

  以下はポリシーを削除する例です。

  ```
  $ aws organizations delete-resource-policy
  ```
+ AWS SDK: [DeleteResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeleteResourcePolicy.html)

------