翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# サービスコントロールポリシー (SCP)
<a name="orgs_manage_policies_scps"></a>

サービスコントロールポリシー (SCP) は、組織のアクセス許可の管理に使用できる組織ポリシーの一種です。SCP では、組織の IAM ユーザーと IAM ロールで使用可能な最大アクセス許可を一元的に制御できます。SCP は、アカウントが組織のアクセスコントロールガイドラインに従っていることを確認するのに役立ちます。SCP は、[すべての機能が有効になっている](orgs_manage_org_support-all-features.md) 組織でのみ使用できます。組織が一括請求機能のみを有効にしている場合、SCP は使用できません。SCP を有効にする方法については、「[ポリシータイプの有効化](enable-policy-type.md)」を参照してください。

SCP は、組織内の IAM ユーザーと IAM ロールにアクセス許可を付与しません。SCP によってアクセス許可を付与することはできません。SCP は、組織内の IAM ユーザーと IAM ロールが実行できるアクションに対するアクセス許可ガードレールを定義するか、制限を設定します。アクセス許可を付与するには、管理者は、IAM ユーザーと IAM ロールにアタッチされたアイデンティティベースのポリシーや、アカウントのリソースにアタッチされたリソースベースのポリシーなど、アクセスを制御するポリシーをアタッチする必要があります。詳細については、「*IAM ユーザーガイド*」の「[アイデンティティベースおよびリソースベースのポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)」を参照してください。

[有効なアクセス許可](#scp-effects-on-permissions)とは、SCP および[リソースコントロールポリシー (RCP)](orgs_manage_policies_rcps.md) によって許可される内容と、アイデンティティベースおよびリソースベースのポリシーによって許可されるアクセスの間の論理的な交点のことです。

**SCP は、管理アカウントのユーザーやロールには影響を与えません**  
SCP は、管理アカウントのユーザーやロールには影響を与えません。SCP は、組織内のメンバーアカウントにのみ影響を与えます。これは、SCP が委任管理者として指定されたメンバーアカウントに適用されることも意味します。

****このページのトピック****
+ [SCP の効果をテストする](#scp-warning-testing-effect)
+ [SCP の上限サイズ](#scp-size-limit)
+ [SCP を組織内のさまざまなレベルにアタッチする](#scp-about-inheritance)
+ [アクセス許可における SCP 効果](#scp-effects-on-permissions)
+ [アクセスデータを使用して SCP を改善する](#data-from-iam)
+ [SCP によって制限されないタスクおよびエンティティ](#not-restricted-by-scp)
+ [SCP 評価](orgs_manage_policies_scps_evaluation.md)
+ [SCP 構文](orgs_manage_policies_scps_syntax.md)
+ [サービスコントロールポリシーの例](orgs_manage_policies_scps_examples.md)
+ [を使用したサービスコントロールポリシー (SCPsトラブルシューティング AWS Organizations](org_troubleshoot_policies.md)

## SCP の効果をテストする
<a name="scp-warning-testing-effect"></a>

AWS では、ポリシーがアカウントに与える影響を徹底的にテストすることなく、SCPs を組織のルートにアタッチしないことを強くお勧めします。代わりに、お客様のアカウントを一度に 1 つずつ、または少なくとも少人数ずつ移動できる OU を作成し、誤って主要なサービスからユーザーを締め出すことのないようにします。アカウントでサービスが使用されているかどうかを判断する方法の 1 つは、[IAM のサービスの最終アクセス時間データ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)を調べることです。もう 1 つの方法は、 [AWS CloudTrail を使用して API レベルでサービス使用状況をログ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/how-cloudtrail-works.html)に記録することです。

**注記**  
**[FullAWSAccess]** ポリシーを変更するか、許可されたアクションを含む別のポリシーに置き換えない限り、FullAWSAccess ポリシーを削除しないでください。そうしないと、メンバーアカウントからのすべての AWS アクションが失敗します。

## SCP の上限サイズ
<a name="scp-size-limit"></a>

SCP 内のすべての文字は、その[上限サイズ](orgs_reference_limits.md#min-max-values)に対してカウントされます。このガイドの例では、読みやすさを向上させるため、空白文字を追加してフォーマットされた SCP を示します。ただし、ポリシーサイズが上限サイズに近づいている場合は、スペースを節約するために、引用符の外側にあるすべての空白文字 (スペースや改行など) を削除できます。

**ヒント**  
ビジュアルエディタを使用して SCP を構築します。これによって、よけいな空白が自動的に削除されます。

## SCP を組織内のさまざまなレベルにアタッチする
<a name="scp-about-inheritance"></a>

SCP の動作の詳細な説明については、「[SCP 評価](orgs_manage_policies_scps_evaluation.md)」を参照してください。

## アクセス許可における SCP 効果
<a name="scp-effects-on-permissions"></a>

SCPsはアクセス AWS Identity and Access Management 許可ポリシーに似ており、ほぼ同じ構文を使用します。ただし、SCP がアクセス権限を付与することはありません。これとは異なり、SCP は、組織内の IAM ユーザーと IAM ロールの最大アクセス許可を指定するアクセスコントロールです。詳細については、*IAM ユーザーガイド*の[ポリシーの評価論理](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)を参照してください。
+ SCP は、組織の一部であるアカウントが管理する ***IAM ユーザーとロールのみに影響します***。SCP はリソースベースのポリシーには直接影響しません。また、組織外のアカウントに属するユーザーやロールにも影響しません。組織内のアカウント A が所有する Amazon S3 バケットについて考えてみます。このバケットポリシー (リソースベースのポリシー) は、組織外のアカウント B に属するユーザーにアクセスを許可します。アカウント A には SCP がアタッチされています。この SCP はアカウント B の外部ユーザーには適用されません。SCP は組織内のアカウント A が管理するユーザーにのみ適用されます。
+ SCP は、メンバーアカウントのルートユーザーを含む、メンバーアカウントの IAM ユーザーとロールのアクセス許可を制限します。すべてのアカウントには、その上位の***すべての***親で許可されている権限のみがあります。アクセス許可が、暗黙的に (`Allow` ポリシーステートメントに含まれない)、または明示的に (`Deny` ポリシーステートメントに含まれる)、アカウントのレベルでブロックされている場合、影響を受けるアカウントのユーザーまたはロールは、アカウント管理者が \$1/\$1 アクセス許可を持つ `AdministratorAccess` IAM ポリシーをユーザーにアタッチしても、そのアクセス許可を使用することはできません。
+ SCP は、組織内の***メンバー***アカウントのみに影響します。管理アカウントのユーザーやロールには影響しません。これは、SCP が委任管理者として指定されたメンバーアカウントに適用されることも意味します。詳細については、「[管理アカウントのベストプラクティス](orgs_best-practices_mgmt-acct.md)」を参照してください。
+ ユーザーとロールには、適切な IAM アクセス許可ポリシーを使用してアクセス許可を付与する必要があります。IAM アクセス許可ポリシーがアタッチされていないユーザーは、たとえ適用される SCP によりすべてのサービスとアクションが許可されても、いずれのサービスもアクセスも許可されません。
+ アクションへのアクセスを付与する IAM アクセス許可ポリシーがユーザーまたはロールに付与されており、そのアクションが適用可能な SCP によって許可されている場合、ユーザーまたはロールはそのアクションを実行できます。
+ アクションへのアクセスを許可する IAM アクセス許可ポリシーがユーザーまたはロールに付与されており、そのアクションが適用可能な SCP によって許可されていないか、または明示的に拒否されている場合、ユーザーまたはロールがそのアクションを実行することはできません。
+ SCP は、アタッチされたアカウントのすべてのユーザーやロール (***ルートユーザーを含む***) に影響します。唯一の例外は、「[SCP によって制限されないタスクおよびエンティティ](#not-restricted-by-scp)」で説明されているものです。
+ SCP はサービスにリンクされたロールに影響***しません***。サービスにリンクされたロールにより AWS のサービス 、他の は と統合 AWS Organizations でき、SCPs によって制限することはできません。
+ ルートで SCP ポリシータイプを無効にすると、そのルート内のすべての AWS Organizations エンティティからすべての SCPs が自動的にデタッチされます。 AWS Organizations エンティティには、組織単位、組織、アカウントが含まれます。そのルートの SCP を再度有効にすると、そのルートはすべてのエンティティに自動的にアタッチされたデフォルトの `FullAWSAccess` ポリシーに戻ります。SCP の無効化の前に AWS Organizations にアタッチされていたすべての SCP は失われ、自動的には復旧されません。ただし、手動で再度アタッチできます。
+ アクセス許可の境界 (高度な IAM 機能) と SCP が両方存在する場合は、アクセス許可の境界、SCP、およびアイデンティティのポリシーによって、すべてのアクションが許可されます。

## アクセスデータを使用して SCP を改善する
<a name="data-from-iam"></a>

管理アカウントの認証情報を使用してサインインすると、IAM コンソールの **AWS Organizations**セクションで AWS Organizations エンティティまたはポリシー[のサービスの最終アクセス時間データ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)を表示できます。IAM で AWS Command Line Interface (AWS CLI) または AWS API を使用して、サービスの最終アクセス時間データを取得することもできます。このデータには、 AWS Organizations アカウントの IAM ユーザーとロールが最後にアクセスを試みた許可されたサービスとその日時に関する情報が含まれます。この情報を使用して不要なアクセス許可を識別し、[最小権限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)の原則により良く準拠するように SCP を改良できます。

例えば、3 つの AWS のサービスへのアクセスを禁止する[拒否リスト SCP](orgs_manage_policies_scps_evaluation.md#how_scps_deny) があるとします。SCP の `Deny` ステートメントにリストされていないすべてのサービスが許可されます。IAM のサービスの最終アクセス時間データでは、SCP で AWS のサービス 許可されているが、使用されていないデータを に指示します。この情報により、SCP を更新して、必要でないサービスへのアクセスを拒否できます。

詳細については、*IAM ユーザーガイド*にある下記のトピックを参照してください。
+ [組織の組織サービスの最終アクセス データの表示](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html)
+ [データを使用した組織単位のアクセス権限の調整](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-example-scenarios.html#access_policies_access-advisor-reduce-permissions-orgs) 

## SCP によって制限されないタスクおよびエンティティ
<a name="not-restricted-by-scp"></a>

SCP を使用して次のタスクを制限することは***できません***。
+ 管理アカウントによって実行されるすべてのアクション
+ サービスにリンクされたロールにアタッチされたアクセス許可を使用して実行されるすべてのアクション。
+ root ユーザーとして Enterprise サポートプランに登録する
+ 信頼された署名者に CloudFront プライベートコンテンツの機能を提供する
+ Amazon Lightsail メールサーバーおよび Amazon EC2 インスタンスの逆引き DNS をルートユーザーとして設定する
+ 一部の AWS関連サービスのタスク:
  + Alexa Top Sites
  + Alexa Web Information Service
  + Amazon Mechanical Turk
  + Amazon Product Marketing API