翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# サービスコントロールポリシーの例
<a name="orgs_manage_policies_scps_examples"></a>

このトピックで表示されている[サービスコントロールポリシー (SCP)](orgs_manage_policies_scps.md) の例は、情報提供のみを目的としています。

**これらの例を使用する前に**  
これらのサンプル SCPsを組織で使用する前に、次の点を考慮してください。  
[サービスコントロールポリシー (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) は、粗粒度のガードレールとして使用することを目的としており、直接アクセスを許可しません。管理者は、実際にアクセス許可を付与するために、[アイデンティティベースまたはリソースベースのポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)をアカウントの IAM プリンシパルまたはリソースにアタッチする必要があります。有効なアクセス許可は、サービスコントロールポリシー/リソースコントロールポリシーと ID ポリシー、またはサービスコントロールポリシー/リソースコントロールポリシーとリソースポリシーの論理的な共通部分です。アクセス許可に対する SCP の効果の詳細については、[こちらを参照してください](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions)。
[サービスコントロールポリシー (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) は、組織、組織単位、またはアカウントにアタッチされると、組織、組織単位、またはアカウント内のすべてのアカウントで使用可能なアクセス許可の最大数を一元的に制御できます。SCP は組織内の複数のレベルで適用できるため、[SCPs の評価方法を理解することで](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html)、適切な結果をもたらす SCPs を作成するのに役立ちます。
このリポジトリのサービスコントロールポリシーを例に示します。ポリシーがアカウントに与える影響を徹底的にテストしない限り、SCPs をアタッチしないでください。実装するポリシーの準備ができたら、本番環境を表すことができる別の組織または OU でテストすることをお勧めします。テストが完了したら、より具体的な OUs に変更をデプロイし、時間の経過とともにより広範でより広範な OUs に変更を徐々にデプロイする必要があります。
このリポジトリの SCP 例では[拒否リスト戦略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html#strategy_using_scps)を使用しています。つまり、組織エンティティにアタッチされたアクセスを許可してアクションを許可する [FullAWSAccess](https://console.aws.amazon.com/organizations/?#/policies/p-FullAWSAccess) ポリシーまたは他のポリシーも必要です。また、アイデンティティベースまたはリソースベースのポリシーを使用して、プリンシパルに適切なアクセス許可を付与する必要もあります。

**ヒント**  
[IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) で[サービスの最終アクセス時間データ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)を使用して SCP を更新し、必要な AWS のサービス のみへのアクセスを制限できます。詳細については、IAM ユーザーガイドの「[組織の Organizations サービスの最終アクセス時間データを表示する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html)」を参照してください。

## GitHub リポジトリ
<a name="scp-github-repositories"></a>
+ [サービスコントロールポリシーの例](https://github.com/aws-samples/service-control-policy-examples) - この GitHub リポジトリには、 AWS SCPs の使用を開始または成熟させるためのポリシーの例が含まれています。