翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# を使用した組織ポリシーの作成 AWS Organizations
組織の[ポリシーを有効にする](enable-policy-type.md)と、ポリシーを作成できます。
このトピックでは、 を使用してポリシーを作成する方法について説明します AWS Organizations。*ポリシー*は、グループに適用するコントロールを定義します AWS アカウント。
**Topics**
+ [サービスコントロールポリシー (SCP) を作成する](#create-an-scp)
+ [リソースコントロールポリシー (RCP) の作成](#create-an-rcp)
+ [宣言型ポリシーの作成](#create-declarative-policy-procedure)
+ [バックアップポリシーを作成する](#create-backup-policy-procedure)
+ [タグポリシーを作成する](#create-tag-policy-procedure)
+ [チャットアプリケーションポリシーの作成](#create-chatbot-policy-procedure)
+ [AI サービスのオプトアウトポリシーを作成する](#create-ai-opt-out-policy-procedure)
+ [アップグレードロールアウトポリシーを作成する](#create-upgrade-rollout-policy-procedure)
+ [Security Hub ポリシーの作成](#create-security-hub-policy-procedure)
## サービスコントロールポリシー (SCP) を作成する
**最小アクセス許可**
SCP を作成するには、以下のアクションを実行する権限が必要です。
`organizations:CreatePolicy`
------
#### [ AWS マネジメントコンソール ]
**サービスコントロールポリシーを作成するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。
1. **[サービスコントロールポリシー](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)**ページで、[**Create policy**] (ポリシーの作成) を選択します。
1. [[**Create new service control policy**] (新しいサービスコントロールポリシーの作成) ページ](https://console.aws.amazon.com/organizations/home/policies/service-control/create)で、[**Policy name**] (ポリシー名) とオプションの [**Policy description**] (ポリシーの説明) に入力します。
1. (オプション) [**Add tag**] (タグの追加) を選択してキーとオプションの値を入力し、1 つ以上のタグを追加します。値を空白のままにすると、空の文字列が設定され、`null` にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「[AWS Organizations リソースのタグ付け考慮事項](orgs_tagging.md)」を参照してください。
**注記**
この後のほとんどのステップでは、JSON エディタの右側にあるコントロールを使用して、要素ごとにポリシーを構築する方法について説明します。また、ウィンドウの左側にある JSON エディタには、いつでもテキストを入力することもできます。直接入力することも、コピーアンドペーストを使用することもできます。
1. ポリシーを構築するための次のステップは、アクセスを[拒否](orgs_manage_policies_scps_evaluation.md#how_scps_deny)または[許可](orgs_manage_policies_scps_evaluation.md#how_scps_allow)するステートメントを追加するかどうかに応じて異なります。詳細については、「[SCP 評価](orgs_manage_policies_scps_evaluation.md)」を参照してください。`Deny` ステートメントを使用すると、特定のリソースへのアクセスを制限したり、SCP が有効になる条件を定義したり、[NotAction](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html) 要素を使用したりできるため、さらなるコントロールが可能になります。構文の詳細については、「[SCP 構文](orgs_manage_policies_scps_syntax.md)」を参照してください。
アクセスを*拒否する*ステートメントを追加するには
1. エディタの右側の **Edit ステートメント**ペインで、**アクションの追加**で AWS サービスを選択します。
右側のオプションを選択すると、JSON エディタが更新され、左側に対応する JSON ポリシーが表示されます。
1. サービスを選択すると、そのサービスで使用可能なアクションが記載されたリストが開きます。[**All actions**] (すべてのアクション) または、拒否する 1 つ以上の個別のアクションを選択します。
左側の JSON が更新され、選択したアクションが表示されます。
**注記**
個別のアクションを選択したら、戻って [**All actions**] (すべてのアクション) を選択すると、予定される `servicename:*` のエントリが JSON に追加されますが、以前に選択した個別のアクションは JSON に残ったまま削除されません。
1. 追加のサービスからアクションを追加したい場合は、[**Statement**] (ステートメント) ボックスの上部にある [**All services**] (すべてのサービス) を選択し、必要に応じて前の 2 つのステップを繰り返します。
1. ステートメントに含めるリソースを指定します。
+ [**リソースの追加**] の横にある [**追加**] を選択します。
+ [**Add a resource**] (リソースの追加) ダイアログで、リソースを制御するサービスをリストから選択します。前のステップで選択したサービスからのみ選択できます。
+ [**Resource type**] (リソースタイプ) で、制御するリソースのタイプを選択します。
+ 最後に、[**Resource ARN**] (リソース ARN) で Amazon リソースネーム (ARN) を入力し、アクセスをコントロールするリソースを特定します。中括弧 `{}` で囲まれたすべてのプレースホルダーを置き換える必要があります。そのリソースタイプの ARN 構文で許可されているワイルドカード (`*`) を指定できます。ワイルドカードを使用できる場所については、特定のリソースタイプに関するドキュメントを参照してください。
+ [**Add a resource**] (リソースの追加) を選択して、ポリシーへの追加を保存します。JSON の `Resource` 要素に、追加や変更が反映されます。[**Resource**] (リソース) 要素が必要です。
**ヒント**
選択したサービスのすべてのリソースを指定する場合は、リストの [**All resource**] (すべてのリソース) のオプションを選択するか、JSON で `Resource` ステートメントを直接編集して `"Resource":"*"` を読み取ります。
1. (オプション) ポリシーステートメントが有効なときに制限する条件を指定するには、[**条件を追加**] の横にある [**追加**] を選択します。
+ **条件キー** – リストから、すべての AWS サービスで使用できる任意の条件キー (例: `aws:SourceIp`)、またはこのステートメントで選択したサービスの 1 つのみのサービス固有のキーを選択できます。
+ **修飾子** – (任意の操作) リクエストに複数値のコンテキストキーの値が複数含まれる場合、それぞれの値に対してリクエストをテストするための[修飾子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html)を指定できます。詳細については、「*IAM ユーザーガイド*」の「[単一値と複数値のコンテキストキー](reference_policies_condition-single-vs-multi-valued-context-keys.html)」を参照してください。リクエストに複数の値を含めることができるかどうかを確認するには、「*サービス認可リファレンス*」の「[Actions, resources, and condition keys for AWS のサービス](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)」を参照してください。
+ **デフォルト値** — ポリシーの条件キーバリューに対する、リクエスト内の単一の値をテストします。リクエスト値がポリシーの値と一致する場合、条件は true を返します。ポリシーで複数の値を指定した場合、それらは「or」のテストとして扱われ、リクエスト値がポリシーの値のいずれかに一致すると、条件は true を返します。
+ **リクエスト内の任意の値** — リクエストに複数の値を含めることができる場合、このオプションでは、リクエスト値の*少なくとも 1 つ*が、ポリシーの少なくとも 1 つの条件キーバリューと一致するかどうかをテストします。リクエスト内のキーバリューのいずれかがポリシーの条件値のいずれかと一致する場合に true が返されます。一致するキーまたは空のデータセットがない場合、条件は false を返します。
+ **リクエスト内のすべての値** - リクエストに複数の値を含めることができる場合、このオプションは、*すべての*リクエスト値がポリシーの条件キーバリューと一致するかどうかをテストします。リクエストのすべてのキーバリューがポリシーの 1 つ以上の値と一致する場合、条件は true を返します。また、リクエストにキーがない場合、またはキーバリューが空の文字列などの null データセットに解決される場合は true を返します。
+ **演算子** — [演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)は、比較するタイプを指定します。表示されるオプションは、条件キーのデータ型によって異なります。例えば、`aws:CurrentTime` グローバル条件キーを使用すると、任意の日付比較演算子または `Null` から選択でき、それを使用してリクエスト内に値が存在するかどうかをテストできます。
`Null` テスト以外のすべての条件演算子については、[IfExists](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) オプションを選択できます。
+ **値** — (オプション) リクエストをテストする 1 つ以上の値を指定します。
**[条件を追加]** を選択します。
条件キーの詳細については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素 Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。
1. アクセスを*許可*するステートメントを追加するには
1. 左側の JSON エディタで、行 `"Effect": "Deny"` を `"Effect": "Allow"` に変更します。
右側のオプションを選択すると、JSON エディターが更新され、対応する JSON ポリシーが左側に表示されます。
1. サービスを選択すると、そのサービスで使用可能なアクションが記載されたリストが開きます。[**All actions**] (すべてのアクション) または、許可する 1 つ以上のアクションを個別に選択できます。
左側の JSON が更新され、選択したアクションが表示されます。
**注記**
個別のアクションを選択したら、戻って [**All actions**] (すべてのアクション) を選択すると、予定される `servicename:*` のエントリが JSON に追加されますが、以前に選択した個別のアクションは JSON に残ったまま削除されません。
1. 追加のサービスからアクションを追加したい場合は、[**Statement**] (ステートメント) ボックスの上部にある [**All services**] (すべてのサービス) を選択し、必要に応じて前の 2 つのステップを繰り返します。
1. (オプション) ポリシーに別のステートメントを追加するには、[**Add statement**] (ステートメントを追加) を選択し、ビジュアルエディタを使用して次のステートメントを構築します。
1. ステートメントの追加が終了したら、[**ポリシーの作成**] を選択して完了した SCP を保存します。
新しい SCP は組織のポリシーのリストに表示されます。[SCP をルート、OU、またはアカウントにアタッチ](orgs_policies_attach.md)できるようになりました。
------
#### [ AWS CLI & AWS SDKs ]
**サービスコントロールポリシーを作成するには**
SCP を作成するには、次のいずれかのコマンドを使用します。
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
次の例は、JSON ポリシーのテキストを含む `Deny-IAM.json` いう名前のファイルがあることを前提としたものです。このファイルを使用して、新しいサービスコントロールポリシーを作成します。
```
$ aws organizations create-policy \
--content file://Deny-IAM.json \
--description "Deny all IAM actions" \
--name DenyIAMSCP \
--type SERVICE_CONTROL_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
"Name": "DenyIAMSCP",
"Description": "Deny all IAM actions",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
**注記**
SCP は、管理アカウントやその他のいくつかの状況では有効になりません。詳細については、「[SCP によって制限されないタスクおよびエンティティ](orgs_manage_policies_scps.md#not-restricted-by-scp)」を参照してください。
## リソースコントロールポリシー (RCP) の作成
**最小アクセス許可**
RCP を作成するには、以下のアクションを実行するアクセス許可が必要です。
`organizations:CreatePolicy`
------
#### [ AWS マネジメントコンソール ]
**リソースコントロールポリシーを作成するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。
1. **[リソースコントロールポリシー]** ページで、**[ポリシーの作成]** を選択します。
1. [**[新しいリソースコントロールポリシーの作成]** ページ](https://console.aws.amazon.com/organizations/home/policies/service-control/create)で、**[ポリシー名]** とオプションの **[ポリシーの説明]** に入力します。
1. (オプション) [**Add tag**] (タグの追加) を選択してキーとオプションの値を入力し、1 つ以上のタグを追加します。値を空白のままにすると、空の文字列が設定され、`null` にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「[AWS Organizations リソースのタグ付け考慮事項](orgs_tagging.md)」を参照してください。
**注記**
この後のほとんどのステップでは、JSON エディタの右側にあるコントロールを使用して、要素ごとにポリシーを構築する方法について説明します。また、ウィンドウの左側にある JSON エディタには、いつでもテキストを入力することもできます。直接入力することも、コピーアンドペーストを使用することもできます。
1. ステートメントを追加するには:
1. エディタの右側の**ステートメントの編集**ペインで、**アクションの追加**でサービスを選択します AWS 。
右側のオプションを選択すると、JSON エディタが更新され、左側に対応する JSON ポリシーが表示されます。
1. サービスを選択すると、そのサービスで使用可能なアクションが記載されたリストが開きます。[**All actions**] (すべてのアクション) または、拒否する 1 つ以上の個別のアクションを選択します。
左側の JSON が更新され、選択したアクションが表示されます。
**注記**
個別のアクションを選択したら、戻って [**All actions**] (すべてのアクション) を選択すると、予定される `servicename:*` のエントリが JSON に追加されますが、以前に選択した個別のアクションは JSON に残ったまま削除されません。
1. 追加のサービスからアクションを追加したい場合は、[**Statement**] (ステートメント) ボックスの上部にある [**All services**] (すべてのサービス) を選択し、必要に応じて前の 2 つのステップを繰り返します。
1. ステートメントに含めるリソースを指定します。
+ [**リソースの追加**] の横にある [**追加**] を選択します。
+ [**Add a resource**] (リソースの追加) ダイアログで、リソースを制御するサービスをリストから選択します。前のステップで選択したサービスからのみ選択できます。
+ [**Resource type**] (リソースタイプ) で、制御するリソースのタイプを選択します。
+ **[リソース ARN]** に Amazon リソースネーム (ARN) を入力し、アクセスをコントロールしたいリソースを特定します。中括弧 `{}` で囲まれたすべてのプレースホルダーを置き換える必要があります。そのリソースタイプの ARN 構文で許可されているワイルドカード (`*`) を指定できます。ワイルドカードを使用できる場所については、特定のリソースタイプに関する[ドキュメント](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html#reference_policies_elements_resource_wildcards)を参照してください。
+ [**Add a resource**] (リソースの追加) を選択して、ポリシーへの追加を保存します。JSON の `Resource` 要素に、追加や変更が反映されます。[**Resource**] (リソース) 要素が必要です。
**ヒント**
選択したサービスのすべてのリソースを指定する場合は、リストの [**All resource**] (すべてのリソース) のオプションを選択するか、JSON で `Resource` ステートメントを直接編集して `"Resource":"*"` を読み取ります。
1. (オプション) ポリシーステートメントが有効なときに制限する条件を指定するには、[**条件を追加**] の横にある [**追加**] を選択します。
+ **条件キー** – リストから、すべての AWS サービスで使用できる任意の条件キー (例: `aws:SourceIp`)、またはこのステートメントで選択したサービスの 1 つのみのサービス固有のキーを選択できます。
+ **修飾子** – (任意の操作) リクエストに複数値のコンテキストキーの値が複数含まれる場合、それぞれの値に対してリクエストをテストするための[修飾子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html)を指定できます。詳細については、「*IAM ユーザーガイド*」の「[単一値と複数値のコンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html)」を参照してください。リクエストに複数の値を含めることができるかどうかを確認するには、「*サービス認可リファレンス*」の「[Actions, resources, and condition keys for AWS のサービス](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)」を参照してください。
+ **デフォルト値** — ポリシーの条件キーバリューに対する、リクエスト内の単一の値をテストします。リクエスト値がポリシーの値と一致する場合、条件は true を返します。ポリシーで複数の値を指定した場合、それらは「or」のテストとして扱われ、リクエスト値がポリシーの値のいずれかに一致すると、条件は true を返します。
+ **リクエスト内の任意の値** — リクエストに複数の値を含めることができる場合、このオプションでは、リクエスト値の*少なくとも 1 つ*が、ポリシーの少なくとも 1 つの条件キーバリューと一致するかどうかをテストします。リクエスト内のキーバリューのいずれかがポリシーの条件値のいずれかと一致する場合に true が返されます。一致するキーまたは空のデータセットがない場合、条件は false を返します。
+ **リクエスト内のすべての値** - リクエストに複数の値を含めることができる場合、このオプションは、*すべての*リクエスト値がポリシーの条件キーバリューと一致するかどうかをテストします。リクエストのすべてのキーバリューがポリシーの 1 つ以上の値と一致する場合、条件は true を返します。また、リクエストにキーがない場合、またはキーバリューが空の文字列などの null データセットに解決される場合は true を返します。
+ **演算子** — [演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)は、比較するタイプを指定します。表示されるオプションは、条件キーのデータ型によって異なります。例えば、`aws:CurrentTime` グローバル条件キーを使用すると、任意の日付比較演算子または `Null` から選択でき、それを使用してリクエスト内に値が存在するかどうかをテストできます。
`Null` テスト以外のすべての条件演算子については、[IfExists](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) オプションを選択できます。
+ **値** — (オプション) リクエストをテストする 1 つ以上の値を指定します。
**[条件を追加]** を選択します。
条件キーの詳細については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素 Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。
1. (任意の操作) `NotAction` 要素を使用して、指定したアクションを***除く***すべてのアクションへのアクセス許可を拒否するには、左側のペインにある `Action` を、`"Effect": "Deny",` 要素の直後に表示される `NotAction` で置き換えます。詳細については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素 NotAction](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html)」を参照してください。
1. (オプション) ポリシーに別のステートメントを追加するには、[**Add statement**] (ステートメントを追加) を選択し、ビジュアルエディタを使用して次のステートメントを構築します。
1. ステートメントの追加が終了したら、**[ポリシーの作成]** を選択して完了した RCP を保存します。
新しい RCP は組織のポリシーのリストに表示されます。[RCP をルート、OU、またはアカウントにアタッチ](orgs_policies_attach.md)できるようになりました。
------
#### [ AWS CLI & AWS SDKs ]
**リソースコントロールポリシーを作成するには**
RCP を作成するには、次のいずれかのコマンドを使用します。
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
次の例は、JSON ポリシーのテキストを含む `Deny-IAM.json` いう名前のファイルがあることを前提としたものです。このファイルを使用して、新しいリソースコントロールポリシーを作成します。
```
$ aws organizations create-policy \
--content file://Deny-IAM.json \
--description "Deny all IAM actions" \
--name DenyIAMRCP \
--type RESOURCE_CONTROL_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/resource_control_policy/p-i9j8k7l6m5",
"Name": "DenyIAMRCP",
"Description": "Deny all IAM actions",
"Type": "RESOURCE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
**注記**
RCP は、管理アカウントやその他のいくつかの状況では有効になりません。詳細については、「[RCP によって制限されないリソースとエンティティ](orgs_manage_policies_rcps.md#actions-not-restricted-by-rcps)」を参照してください。
## 宣言型ポリシーの作成
**最小アクセス許可**
宣言型ポリシーを作成するには、以下のアクションを実行するアクセス許可が必要です。
`organizations:CreatePolicy`
------
#### [ AWS マネジメントコンソール ]
**宣言型ポリシーを作成するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。
1. **[[宣言型ポリシー]](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2)** ページで、**[ポリシーの作成]** を選択します。
1. [https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2/create](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2/create) ページで、**[ポリシー名]** と、オプションで **[ポリシーの説明]** を入力します。
1. (オプション) [**Add tag**] (タグの追加) を選択してキーとオプションの値を入力することで、ポリシーに 1 つ以上のタグを追加できます。値を空白のままにすると、空の文字列が設定され、`null` にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「[AWS Organizations リソースのタグ付け考慮事項](orgs_tagging.md)」を参照してください。
1. この手順で説明するように、[**ビジュアルエディタ**] を使用してポリシーを構築できます。また、[**JSON**] タブにポリシーテキストを入力または貼り付けることもできます。宣言型ポリシーの構文については、「[宣言型ポリシーの構文と例](orgs_manage_policies_declarative_syntax.md)」を参照してください。
**ビジュアルエディタ**を使用する場合は、宣言型ポリシーに含めるサービス属性を選択します。詳細については、「[サポートされている AWS のサービス および 属性](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-supported-controls)」を参照してください。
1. **[サービス属性を追加]** を選択し、仕様に合わせて属性を設定します。各エフェクトの詳細については、「[宣言型ポリシーの構文と例](orgs_manage_policies_declarative_syntax.md)」を参照してください。
1. ポリシーの編集が完了したら、ページの右下隅の [**Create policy**] (ポリシーの作成) を選択します。
------
#### [ AWS CLI & AWS SDKs ]
**宣言型ポリシーを作成するには**
次のいずれかを使用して、宣言型ポリシーを作成できます。
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
1. 以下のような宣言型ポリシーを作成し、テキストファイルに保存します。
```
{
"ec2_attributes": {
"image_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
この宣言型ポリシーでは、新しい Amazon マシンイメージ (AMI) がパブリックに共有されないように、ポリシーの影響を受けるすべてのアカウントを設定する必要があります。宣言型ポリシーの構文については、「[宣言型ポリシーの構文と例](orgs_manage_policies_declarative_syntax.md)」を参照してください。
1. JSON ポリシーファイルをインポートして、組織内に新しいポリシーを作成します。この例では、先に扱った JSON ファイルは `policy.json` という名前になっています。
```
$ aws organizations create-policy \
--type DECLARATIVE_POLICY_EC2 \
--name "MyTestPolicy" \
--description "My test policy" \
--content file://policy.json
{
"Policy": {
"Content": "{"ec2_attributes":{"image_block_public_access":{"state":{"@@assign":"block_new_sharing"}}}}".
"PolicySummary": {
"Id": "p-i9j8k7l6m5"
"Arn": "arn:aws:organizations::o-aa111bb222:policy/declarative_policy_ec2/p-i9j8k7l6m5",
"Description": "My test policy",
"Name": "MyTestPolicy",
"Type": "DECLARATIVE_POLICY_EC2"
}
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
**次のステップ**
宣言型ポリシーを作成したら、[[アカウントステータスレポート]](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-account-status-report) を使用して準備状況を評価します。その後、ベースライン設定を適用できます。これを行うには、組織ルート、組織単位 (OU)、組織内の AWS アカウント 、またはこれらすべてに[ポリシーをアタッチ](orgs_policies_attach.md)します。
## バックアップポリシーを作成する
**最小アクセス許可**
バックアップポリシーを作成するには、次のアクションを実行するアクセス許可が必要です。
`organizations:CreatePolicy`
------
#### [ AWS マネジメントコンソール ]
バックアップポリシーは、次の 2 つの方法のいずれか AWS マネジメントコンソール で で作成できます。
+ オプションを選択し、JSON ポリシーテキストを生成できるビジュアルエディタ。
+ JSON ポリシーテキストを直接作成できるテキストエディタ。
ビジュアルエディタを使用すると、プロセスが簡単になりますが、柔軟性は制限されます。これは、最初のポリシーを作成し、使用に慣れるのに最適な方法です。これらの機能の仕組みを理解し、ビジュアルエディタが提供するものによって制限され始めたら、JSON ポリシーテキストを自分で編集して、ポリシーに高度な機能を追加できます。ビジュアルエディタは、[@@assign 値設定演算子](policy-operators.md#value-setting-operators)のみを使用し、[子制御演算子](policy-operators.md#child-control-operators)へのアクセスは提供しません。子制御演算子は、JSON ポリシーテキストを手動で編集した場合にのみ追加できます。
**バックアップポリシーを作成するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。
1. **[バックアップポリシー](https://console.aws.amazon.com/organizations/v2/home/policies/backup-policy)**ページで、[**Create policy**] (ポリシーの作成) を選択します。
1. [**Create policy**] (ポリシーの作成) ページで、****ポリシー名****と、オプションで**ポリシーの説明**を入力します。
1. (オプション) [**Add tag**] (タグの追加) を選択してキーとオプションの値を入力することで、ポリシーに 1 つ以上のタグを追加できます。値を空白のままにすると、空の文字列が設定され、`null` にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。タグ付けの詳細については、「[AWS Organizations リソースのタグ付け考慮事項](orgs_tagging.md)」を参照してください。
1. この手順で説明するように、[**ビジュアルエディタ**] を使用してポリシーを構築できます。また、[**JSON**] タブにポリシーテキストを入力または貼り付けることもできます。バックアップポリシーの構文については、[バックアップポリシーの構文と例](orgs_manage_policies_backup_syntax.md) を参照してください。
[**ビジュアルエディタ**] を使用する場合は、シナリオに適したバックアップオプションを選択します。バックアッププランは 3 つの部分で構成されます。こうしたバックアッププランの要素について詳しくは、*AWS Backup デベロッパーガイド*[のバックアッププランの作成](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)、および[リソースの割り当て](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)を参照してください。
1. バックアッププランの全般的な説明
+ [**バックアッププラン名**] には、英数字、ハイフン、下線のみを使用できます。
+ リストから少なくとも 1 つの [**バックアッププランリージョン**] を選択する必要があります。プランでは、選択した AWS リージョンでのみリソースをバックアップできます。
1. AWS Backup の動作方法とタイミングを指定する 1 つ以上のバックアップルール。各バックアップルールは、次の項目を定義します。
+ バックアップの頻度、およびバックアップを実行できるタイムウィンドウを含むスケジュール。
+ 使用するバックアップボールトの名前。[**バックアップボールト名**] は、英数字、ハイフン、下線のみで構成できます。プランを正常に実行するには、バックアップボールトが存在している必要があります。 AWS Backup コンソールまたは AWS CLI コマンドを使用してボールトを作成します。
+ (オプション) 1 つ以上の**リージョンにコピー**ルールで、バックアップを他の AWS リージョンのボールトにもコピーします。
+ このバックアッププランを実行するたびに作成されるバックアップリカバリポイントに関連付ける 1 つ以上のタグキーと値のペア。
+ バックアップがコールドストレージに移行するタイミングとバックアップの期限を指定するライフサイクルオプション。
[**Add rule**] (ルールの追加) を選択し、必要な各ルールをプランに追加します。
バックアップルールの詳細については、*AWS Backup デベロッパーガイド*の[バックアップルール](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#backup-rules)を参照してください。
1. このプランで AWS Backup がバックアップするリソースを指定するリソース割り当て。割り当ては、 AWS Backup がリソースの検索と照合に使用するタグペアを指定することによって行われます。
+ [**リソースの割り当て名**] には、英数字、ハイフン、下線のみを使用できます。
+ AWS Backup 用の [**IAM role**] (IAM ロール) を指定します。バックアップはこの名前で実行されます。
コンソールでは、Amazon リソースネーム (ARN) の全体は指定しません。ロール名とロールのタイプを指定するプレフィックスの両方を含める必要があります。通常、プレフィックスは `role` または `service-role` で、ロール名とはスラッシュ (「/」) で区切られます。例えば、`role/MyRoleName` または `service-role/MyManagedRoleName` と入力します。これは、基本となる JSON に保存される際に完全な ARN に自動で変換されます。
**重要**
指定した IAM ロールは、ポリシーが適用されるアカウントにすでに存在している必要があります。存在しない場合、バックアッププランはバックアップジョブを正常に開始する可能性がありますが、それらのバックアップジョブは失敗します。
+ [**Resource tag key**] (リソースタグキー) と [**Tag values**] (タグ値) のペアを 1 つ以上指定し、バックアップするリソースを特定します。複数のタグ値がある場合は、値をカンマで区切ります。
[**Add assignment**] (割り当てを追加) を選択し、バックアッププランに設定した各リソース割り当てを追加します。
詳細については、*AWS Backup デベロッパーガイド*の[バックアッププランへのリソースの割り当て](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-scheduled-backup.html#assign-resources-to-plan)を参照してください。
1. ポリシーの作成が完了したら、[**Create policy**] (ポリシーの作成) を選択します。使用可能なバックアップポリシーのリストにポリシーが表示されます。
------
#### [ AWS CLI & AWS SDKs ]
**バックアップポリシーを作成するには**
次のいずれかを使用して、バックアップポリシーを作成できます。
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
バックアッププランを次のような JSON テキストとして作成し、テキストファイルとして保存します。構文のすべてのルールについては、[バックアップポリシーの構文と例](orgs_manage_policies_backup_syntax.md) を参照してください。
```
{
"plans": {
"PII_Backup_Plan": {
"regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
"rules": {
"Hourly": {
"schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
"start_backup_window_minutes": { "@@assign": "480" },
"complete_backup_window_minutes": { "@@assign": "10080" },
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "180" },
"delete_after_days": { "@@assign": "270" }
},
"target_backup_vault_name": { "@@assign": "FortKnox" },
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "10" },
"delete_after_days": { "@@assign": "100" }
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
"tag_key": { "@@assign": "dataType" },
"tag_value": { "@@assign": [ "PII" ] }
}
}
}
}
}
}
```
このバックアッププランでは、指定された AWS アカウント にあり、 の値`dataType`を持つ タグ AWS リージョン を持つ、影響を受ける のすべてのリソースを AWS バックアップするように指定します`PII`。
次に、JSON ポリシーファイルをインポートして、組織内に新しいポリシーを作成します。出力のポリシー ARN の末尾にあるポリシー ID を書き留めます。
```
$ aws organizations create-policy \
--name "MyBackupPolicy" \
--type BACKUP_POLICY \
--description "My backup policy" \
--content file://policy.json{
"Policy": {
"PolicySummary": {
"Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
"Description": "My backup policy",
"Name": "MyBackupPolicy",
"Type": "BACKUP_POLICY"
}
"Content": "...a condensed version of the JSON policy document you provided in the file...",
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## タグポリシーを作成する
**最小アクセス許可**
タグポリシーを作成するには、次のアクションを実行するためのアクセス権限が必要です。
`organizations:CreatePolicy`
のタグポリシーは、次の 2 つの方法のいずれか AWS マネジメントコンソール で作成できます。
+ オプションを選択し、JSON ポリシーテキストを生成できるビジュアルエディタ。
+ JSON ポリシーテキストを直接作成できるテキストエディタ。
ビジュアルエディタを使用すると、プロセスが簡単になりますが、柔軟性は制限されます。これは、最初のポリシーを作成し、使用に慣れるのに最適な方法です。これらの機能の仕組みを理解し、ビジュアルエディタが提供するものによって制限され始めたら、JSON ポリシーテキストを自分で編集して、ポリシーに高度な機能を追加できます。ビジュアルエディタは、[@@assign 値設定演算子](policy-operators.md#value-setting-operators)のみを使用し、[子制御演算子](policy-operators.md#child-control-operators)へのアクセスは提供しません。子制御演算子は、JSON ポリシーテキストを手動で編集した場合にのみ追加できます。
------
#### [ AWS マネジメントコンソール ]
のタグポリシーは、次の 2 つの方法のいずれか AWS マネジメントコンソール で作成できます。
+ オプションを選択し、JSON ポリシーテキストを生成できるビジュアルエディタ。
+ JSON ポリシーテキストを直接作成できるテキストエディタ。
ビジュアルエディタを使用すると、プロセスが簡単になりますが、柔軟性は制限されます。これは、最初のポリシーを作成し、使用に慣れるのに最適な方法です。これらの機能の仕組みを理解し、ビジュアルエディタが提供するものによって制限され始めたら、JSON ポリシーテキストを自分で編集して、ポリシーに高度な機能を追加できます。ビジュアルエディタは、[@@assign 値設定演算子](policy-operators.md#value-setting-operators)のみを使用し、[子制御演算子](policy-operators.md#child-control-operators)へのアクセスは提供しません。子制御演算子は、JSON ポリシーテキストを手動で編集した場合にのみ追加できます。
**タグポリシーを作成するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。
1. **[タグポリシー](https://console.aws.amazon.com/organizations/v2/home/policies/tag-policy)**ページで、[**Create policy**] (ポリシーの作成) を選択します。
1. [**Create policy**] (ポリシーの作成) ページで、****ポリシー名****と、オプションで**ポリシーの説明**を入力します。
1. (オプション) ポリシーオブジェクト自体には 1 つ以上のタグを追加できます。これらのタグはポリシーの一部ではありません。これを行うには、[**Add tag**] (タグの追加) を選択してから、キーとオプションの値を入力します。値を空白のままにすると、空の文字列が設定され、`null` にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「[AWS Organizations リソースのタグ付け考慮事項](orgs_tagging.md)」を参照してください。
1. この手順で説明するように、**ビジュアルエディタ**を使用してタグポリシーを構築できます。[**JSON**] タブでタグポリシーを入力またはペーストすることもできます。タグポリシーの構文については、[タグポリシー構文](orgs_manage_policies_example-tag-policies.md#tag-policy-syntax-reference) を参照してください。
**ビジュアルエディタ**を使用する場合は、以下を指定します。
1. [**New tag key 1**] (新しいタグキー 1) で、追加するタグキーの名前を指定します。
1. **[コンプライアンスオプション]** では、次のオプションを選択できます。
1. **[タグキーには、上記で指定したの大文字と小文字の表記を使用する]** – このオプションをオフ (デフォルト) のままにすると、継承された親タグポリシーが存在する場合、タグキーの大文字と小文字の処理を定義するように指定します。
このポリシーを使用してタグキーの大文字と小文字を区別する場合は、このオプションを有効にします。このオプションを選択すると、[**タグキー**] に指定した大文字と小文字は、継承された親ポリシーで指定された大文字と小文字の処理より優先されます。
親ポリシーが存在せず、このオプションを有効にしない場合、タグキーがすべて小文字のものだけが準拠していると見なされます。親ポリシーからの継承の詳細については、「[管理ポリシーの継承を理解する](orgs_manage_policies_inheritance_mgmt.md)」を参照してください。
**ヒント**
タグキーとその大文字小文字の処理を定義するタグポリシーを作成する際のガイドとして、「[例 1: 組織全体のタグキーの大文字小文字取り扱いの定義](orgs_manage_policies_example-tag-policies.md#tag-policy-example-key-case)」に示すタグポリシーの例を使用することを検討してください。組織のルートにアタッチします。後で追加のタグポリシーを作成し、OU またはアカウントにアタッチして、追加のタグ付けルールを作成できます。
1. **[このタグの許可された値を指定する]** で、このタグキーに許可される値を親ポリシーから継承された値に追加する場合は、このオプションを有効にします。
デフォルトでは、このオプションはオフになっています。つまり、親ポリシーで定義され、親ポリシーから継承された値だけが準拠していると見なされます。親ポリシーが存在しない場合、またはタグ値を指定しない場合、すべての値 (値なしの場合を含む) が準拠していると見なされます。
受け入れ可能なタグ値のリストを更新するには、[**Specify allowed values for this tag key**] (このタグキーに許可される値を指定する) を選択し、[**Specify values**] (値を指定) を選択します。プロンプトが表示されたら、新しい値を入力し (ボックスごとに 1 つの値)、[**Save changes**] (変更の保存) を選択します。
1. を **[強制するリソースタイプ]** では、**[このタグの非準拠オペレーションの防止]** を選択できます。
タグポリシーの使用経験がない場合は、このオプションをオフ (デフォルト) のままにしておくことをお勧めします。「[タグ付けの一貫性を強制する](orgs_manage_policies_tag-policies-enforcement.md)」の推奨事項を確認し、完全なテストを実施してください。そうしないと、組織のアカウントのユーザーが必要なリソースにタグ付けできなくなる可能性があります。
このタグキーへの準拠を強制する場合は、チェックボックスをオンにしてから [**Specify resource types**] (リソースタイプを指定) を選択します。プロンプトが表示されたら、ポリシーに含めるリソースタイプを選択します。次に、**変更の保存**を選択します。
**重要**
このオプションを選択すると、指定したタイプのリソースのタグを操作するオペレーションは、そのオペレーションの結果としてポリシーに準拠するタグが得られた場合にのみ成功します。
1. (オプション) このタグポリシーに別のタグキーを追加するには、[**Add tag key**] を選択します。次に、ステップ 6~9 を実行してタグキーを定義します。
1. タグポリシーの構築が完了したら、[**Save changes**] (変更を保存) を選択します。
------
#### [ AWS CLI & AWS SDKs ]
**タグポリシーを作成するには**
次のいずれかを使用して、タグポリシーを作成できます。
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
タグポリシーの作成には任意のテキストエディタを使用できます。JSON 構文を使用し、タグポリシーを任意の名前と拡張子を持つファイルとして任意の場所に保存します。タグポリシーには、スペースを含めて最大 2,500 文字を使用できます。タグポリシーの構文については、[タグポリシー構文](orgs_manage_policies_example-tag-policies.md#tag-policy-syntax-reference) を参照してください。
**タグポリシーを作成するには**
1. 以下のようなタグポリシーのテキストファイルを作成します。
`testpolicy.json` の内容:
```
{
"tags": {
"CostCenter": {
"tag_key": {
"@@assign": "CostCenter"
}
}
}
}
```
このタグポリシーは、`CostCenter` タグキーを定義します。タグは任意の値を受け入れることができますが、値を受け入れなくても構いません。このようなポリシーでは、値の有無にかかわらず CostCenter タグの付いているリソースを準拠しているとみなします。
1. ファイルにあるポリシーの内容を含むポリシーを作成します。出力が読みやすくなるように、余分な余白は切り詰められています。
```
$ aws organizations create-policy \
--name "MyTestTagPolicy" \
--description "My Test policy" \
--content file://testpolicy.json \
--type TAG_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-a1b2c3d4e5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
"Name": "MyTestTagPolicy",
"Description": "My Test policy",
"Type": "TAG_POLICY",
"AwsManaged": false
},
"Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## チャットアプリケーションポリシーの作成
**最小アクセス許可**
チャットアプリケーションポリシーを作成するには、以下のアクションを実行するアクセス許可が必要です。
`organizations:CreatePolicy`
------
#### [ AWS マネジメントコンソール ]
チャットアプリケーションポリシーは、次の 2 つの方法のいずれか AWS マネジメントコンソール で で作成できます。
+ オプションを選択し、JSON ポリシーテキストを生成できるビジュアルエディタ。
+ JSON ポリシーテキストを直接作成できるテキストエディタ。
ビジュアルエディタを使用すると、プロセスが簡単になりますが、柔軟性は制限されます。これは、最初のポリシーを作成し、使用に慣れるのに最適な方法です。これらの機能の仕組みを理解し、ビジュアルエディタが提供するものによって制限され始めたら、JSON ポリシーテキストを自分で編集して、ポリシーに高度な機能を追加できます。ビジュアルエディタは、[@@assign 値設定演算子](policy-operators.md#value-setting-operators)のみを使用し、[子制御演算子](policy-operators.md#child-control-operators)へのアクセスは提供しません。子制御演算子は、JSON ポリシーテキストを手動で編集した場合にのみ追加できます。
**チャットアプリケーションポリシーを作成するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。
1. **[チャットボットポリシー](https://console.aws.amazon.com/organizations/v2/home/policies/chatbot-policy)**ページで、**[ポリシーの作成]** を選択します。
1. [**[新しいチャットアプリケーションポリシーの作成]** ページ](https://console.aws.amazon.com/organizations/v2/home/policies/chatbot-policy/create)で、**[ポリシー名]** と、オプションで **[ポリシーの説明]** を入力します。
1. (オプション) [**Add tag**] (タグの追加) を選択してキーとオプションの値を入力することで、ポリシーに 1 つ以上のタグを追加できます。値を空白のままにすると、空の文字列が設定され、`null` にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「[AWS Organizations リソースのタグ付け考慮事項](orgs_tagging.md)」を参照してください。
1. この手順で説明するように、[**ビジュアルエディタ**] を使用してポリシーを構築できます。また、[**JSON**] タブにポリシーテキストを入力または貼り付けることもできます。チャットアプリケーションポリシーの構文については、「[チャットアプリケーションポリシーの構文と例](orgs_manage_policies_chatbot_syntax.md)」を参照してください。
**ビジュアルエディタ**を使用する場合は、チャットクライアントのアクセスコントロールを指定してチャットアプリケーションポリシーを設定します。
1. **Amazon Chime チャットクライアントアクセスを設定する**には、次のいずれかを選択します。
+ Chime へのアクセスを拒否します。
+ Chime へのアクセスを許可します。
1. **Microsoft Teams チャットクライアントアクセスを設定する**には、以下を選択します。
+ すべての Teams へのアクセスを拒否する
+ すべての Teams へのアクセスを許可する
+ 名前付き Teams へのアクセスを制限する
1. **Slack チャットクライアントアクセスを設定する**には、次のいずれかを選択します。
+ すべての Slack ワークスペースへのアクセスを拒否する
+ すべての Slack ワークスペースへのアクセスを許可する
+ 名前付き Slack ワークパスへのアクセスを制限する
**注記**
さらに、**[チャットアプリケーションにおける Amazon Q Developer の使用をプライベート Slack チャネルのみに制限する]** を選択することもできます。
1. **IAM アクセス許可タイプを設定する**には、次のオプションを選択します。
+ **[チャネルレベルの IAM ロールを有効にする]** – すべてのチャネルメンバーは、チャネルでタスクを実行するための IAM ロールのアクセス許可を共有します。チャネルメンバーが同じアクセス許可を必要とする場合、チャネルロールが適切です。
+ **[ユーザーレベルの IAM ロールを有効にする]** – チャネルメンバーはアクションを実行するために IAM ユーザーロールを選択する必要があります (ロールを選択するにはコンソールへのアクセスが必要です)。チャネルメンバーが異なるアクセス許可を必要とし、ユーザーロールを選択できる場合、ユーザーロールは適切です。
1. ポリシーの作成が完了したら、[**Create policy**] (ポリシーの作成) を選択します。チャットボットバックアップポリシーのリストにポリシーが表示されます。
------
#### [ AWS CLI & AWS SDKs ]
**チャットアプリケーションポリシーを作成するには**
以下のいずれかを使用して、チャットアプリケーションポリシーを作成できます。
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
チャットアプリケーションポリシーの作成には任意のテキストエディタを使用できます。JSON 構文を使用して、チャットアプリケーションポリシーを任意の名前と拡張子を持つファイルとして任意の場所に保存します。チャットアプリケーションポリシーには、スペースを含めて最大 ? 文字を使用できます。タグポリシーの構文については、[チャットアプリケーションポリシーの構文と例](orgs_manage_policies_chatbot_syntax.md) を参照してください。
**チャットアプリケーションポリシーを作成するには**
1. 以下のようなチャットアプリケーションポリシーのテキストファイルを作成します。
`testpolicy.json` の内容:
```
{
"chatbot": {
"platforms": {
"slack": {
"client": {
"@@assign": "enabled"
},
"workspaces": {
"@@assign": [
"Slack-Workspace-Id"
]
},
"default": {
"supported_channel_types": {
"@@assign": [
"private"
]
}
}
},
"microsoft_teams": {
"client": {
"@@assign": "disabled"
}
}
}
}
}
```
このチャットアプリケーションポリシーは、特定のワークスペース内のプライベート Slack チャネルのみを許可し、Microsoft Teams を無効にし、すべての[ロール設定](https://docs.aws.amazon.com/chatbot/latest/adminguide/understanding-permissions.html#role-settings)をサポートします。
1. ファイルにあるポリシーの内容を含むポリシーを作成します。出力が読みやすくなるように、余分な余白は切り詰められています。
```
$ aws organizations create-policy \
--name "MyTestChatbotPolicy" \
--description "My Test policy" \
--content file://testpolicy.json \
--type CHATBOT_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-a1b2c3d4e5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/chatbot_policy/p-a1b2c3d4e5",
"Name": "MyTestChatApplicationsPolicy",
"Description": "My Test policy",
"Type": "CHATBOT_POLICY",
"AwsManaged": false
},
"Content": "{"chatbot":{"platforms":{"slack":{"client":{"@@assign":"enabled"},"workspaces":{"@@assign":["Slack-Workspace-Id"]},"supported_channel_types":{"@@assign":["private"]}},"microsoft_teams":{"client":{"@@assign":"disabled"}}}}}"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## AI サービスのオプトアウトポリシーを作成する
**最小アクセス許可**
AI サービスのオプトアウトポリシーを作成するには、次のアクションを実行するアクセス許可が必要です。
`organizations:CreatePolicy`
------
#### [ AWS マネジメントコンソール ]
**AI サービスのオプトアウトポリシーを作成するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。
1. **[AI サービスのオプトアウトポリシー](https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy)**ページで、[**Create policy**] (ポリシーの作成) を選択します。
1. [[**Create new AI services opt-out policy**] (新しい AI サービスのオプトアウトポリシーの作成) ページ](https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy/create)で、**ポリシー名**と**ポリシーの説明**を入力します。
1. (オプション) [**Add tag**] (タグの追加) を選択してキーとオプションの値を入力することで、ポリシーに 1 つ以上のタグを追加できます。値を空白のままにすると、空の文字列が設定され、`null` にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「[AWS Organizations リソースのタグ付け考慮事項](orgs_tagging.md)」を参照してください。
1. [**JSON**] タブで、ポリシーテキストを入力するか貼り付けます。AI サービスのオプトアウトポリシーの構文について詳しくは、[AI サービスのオプトアウトポリシーの構文と例](orgs_manage_policies_ai-opt-out_syntax.md) を参照してください。開始点として使用できるサンプルポリシーについては、[AI サービスのオプトアウトポリシーの例](orgs_manage_policies_ai-opt-out_syntax.md#ai-opt-out-policy-examples) を参照してください。
1. ポリシーの編集が完了したら、ページの右下隅の [**Create policy**] (ポリシーの作成) を選択します。
------
#### [ AWS CLI & AWS SDKs ]
**AI サービスのオプトアウトポリシーを作成するには**
次のいずれかを使用して、タグポリシーを作成できます。
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
1. 次のような AI サービスのオプトアウトポリシーを作成し、テキストファイルとして保存します。「`optOut`」と「`optIn`」では大文字と小文字が区別されます。
```
{
"services": {
"default": {
"opt_out_policy": {
"@@assign": "optOut"
}
},
"rekognition": {
"opt_out_policy": {
"@@assign": "optIn"
}
}
}
}
```
この AI サービスのオプトアウトポリシーは、ポリシーの影響を受けるすべてのアカウントが、Amazon Rekognition を除くすべての AI サービスからオプトアウトされるように指定します。
1. JSON ポリシーファイルをインポートして、組織内に新しいポリシーを作成します。この例では、先に扱った JSON ファイルは `policy.json` という名前になっています。
```
$ aws organizations create-policy \
--type AISERVICES_OPT_OUT_POLICY \
--name "MyTestPolicy" \
--description "My test policy" \
--content file://policy.json
{
"Policy": {
"Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
"PolicySummary": {
"Id": "p-i9j8k7l6m5"
"Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
"Description": "My test policy",
"Name": "MyTestPolicy",
"Type": "AISERVICES_OPT_OUT_POLICY"
}
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## アップグレードロールアウトポリシーを作成する
**最小アクセス許可**
アップグレードロールアウトポリシーを作成するには、次のアクションを実行するためのアクセス許可が必要です。
`organizations:CreatePolicy`
------
#### [ AWS マネジメントコンソール ]
**アップグレードロールアウトポリシーを作成するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー ([非推奨](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) としてサインインする必要があります。
1. **[ロールアウトポリシーのアップグレード](https://console.aws.amazon.com/organizations/v2/home/policies/upgrade-rollout-policy)**ページで、**ポリシーの作成**を選択します。
1. [**新しいアップグレードロールアウトポリシーの作成**ページで](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2/create)、**ポリシー名**とオプションの**ポリシーの説明**を入力します。
1. (オプション) [**Add tag**] (タグの追加) を選択してキーとオプションの値を入力することで、ポリシーに 1 つ以上のタグを追加できます。値を空白のままにすると、空の文字列が設定され、`null` にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「[AWS Organizations リソースのタグ付け考慮事項](orgs_tagging.md)」を参照してください。
1. この手順で説明するように、[**ビジュアルエディタ**] を使用してポリシーを構築できます。また、[**JSON**] タブにポリシーテキストを入力または貼り付けることもできます。詳細については、「[ロールアウトポリシーの構文と例をアップグレードする](orgs_manage_policies_upgrade_syntax.md)」を参照してください。
**ビジュアルエディタ**を使用する場合は、アップグレードロールアウトポリシーに使用するアップグレード順序を選択します。アップグレード注文の詳細については、「」を参照してください[アップグレードロールアウトポリシーとは](orgs_manage_policies_upgrade_rollout.md#orgs_manage_policies_upgrade_rollout_what_are)。
1. **ポリシーの順序とリソース**で、メニューから **First**、**Second**、**Last** のいずれかを選択します。
1. (オプション) このポリシーで個々のリソースをターゲットにするには、**特定のリソースを上書き**を選択し、次の操作を行います。
1. **キー**に、上書きするリソースの名前を入力します。
1. **Value** に、リソースの ARN を入力します。
1. **アップグレード順に**、このリソースに適用する優先順序を選択します。
1. 追加のリソースを指定する必要がある場合は、**タグを追加**を選択し、前のステップを繰り返してタグキーを定義します。
1. ポリシーの編集が完了したら、ページの右下隅の [**Create policy**] (ポリシーの作成) を選択します。
新しいポリシーがアップグレードロールアウトポリシーのリストに表示されます。[ポリシーをルート、OUs、またはアカウントにアタッチ](orgs_policies_attach.md)できるようになりました。
------
#### [ AWS CLI & AWS SDKs ]
**アップグレードロールアウトポリシーを作成するには**
次のいずれかを使用して、アップグレードロールアウトポリシーを作成できます。
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
1. 次のようなアップグレードロールアウトポリシーを作成し、テキストファイルに保存します。
```
{
"upgrade_rollout": {
"default": {
"patch_order": {
"@@assign": "last"
}
},
"tags": {
"my_patch_order_tag": {
"tag_values": {
"tag1": {
"patch_order": {
"@@assign": "first"
}
},
"tag2": {
"patch_order": {
"@@assign": "second"
}
},
"tag3": {
"patch_order": {
"@@assign": "last"
}
}
}
}
}
}
}
```
このアップグレードロールアウトポリシーは、 サービスがリソース全体に自動アップグレードを適用する順序 AWS を定義します。アップグレードのロールアウトポリシー構文については、「」を参照してください[ロールアウトポリシーの構文と例をアップグレードする](orgs_manage_policies_upgrade_syntax.md)。
1. JSON ポリシーファイルをインポートして、組織内に新しいポリシーを作成します。この例では、先に扱った JSON ファイルは `policy.json` という名前になっています。
```
$ aws organizations create-policy \
--type UPGRADE_ROLLOUT_POLICY \
--name "MyTestPolicy" \
--description "My test policy" \
--content file://policy.json
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/upgrade_rollout_policy/p-i9j8k7l6m5",
"Name": "MyTestPolicy",
"Description": "My test policy",
"Type": "UPGRADE_ROLLOUT_POLICY",
"AwsManaged": false
},
"Content": "{\n \"upgrade_rollout\": {\n \"default\": {\n \"patch_order\": {\n \"@@assign\": \"last\"\n }\n },\n \"tags\": {\n \"my_patch_order_tag\": {\n \"tag_values\": {\n \"tag1\": {\n \"patch_order\": {\n \"@@assign\": \"first\"\n }\n },\n \"tag2\": {\n \"patch_order\": {\n \"@@assign\": \"second\"\n }\n },\n \"tag3\": {\n \"patch_order\": {\n \"@@assign\": \"last\"\n }\n }\n }\n }\n }\n }\n}\n"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Security Hub ポリシーの作成
**最小アクセス許可**
Security Hub ポリシーを作成するには、以下のアクションを実行するアクセス許可が必要です。
`organizations:CreatePolicy`
------
#### [ AWS マネジメントコンソール ]
**Security Hub ポリシーを作成するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。
1. **[[Security Hub ポリシー]](https://console.aws.amazon.com/organizations/v2/home/policies/securityhub-policy)** ページで、**[ポリシーの作成]** を選択します。
1. [**[新しい Security Hub ポリシーの作成]** ページ](https://console.aws.amazon.com/organizations/v2/home/policies/securityhub-policy/create)で、**[ポリシー名]** と、オプションで **[ポリシーの説明]** を入力します。
1. (オプション) [**Add tag**] (タグの追加) を選択してキーとオプションの値を入力することで、ポリシーに 1 つ以上のタグを追加できます。値を空白のままにすると、空の文字列が設定され、`null` にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「[AWS Organizations リソースのタグ付け考慮事項](orgs_tagging.md)」を参照してください。
1. JSON コードボックスに、ポリシーテキストを入力するか貼り付けます。Security Hub ポリシーの構文については、「[Security Hub ポリシーの構文と例](orgs_manage_policies_security_hub_syntax.md)」を参照してください。開始点として使用できるサンプルポリシーについては、[Security Hub ポリシーの例](orgs_manage_policies_security_hub_syntax.md#security-hub-policy-examples) を参照してください。
1. ポリシーの編集が完了したら、ページの右下隅の [**Create policy**] (ポリシーの作成) を選択します。
------
#### [ AWS CLI & AWS SDKs ]
**Security Hub ポリシーを作成するには**
以下のいずれかを使用して、Security Hub ポリシーを作成できます。
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
**例: サポートされているすべてのリージョンで Security Hub を有効にするポリシーを作成する**
次の例は、JSON ポリシーのテキストを含む `testPolicy_enableAllSupportedRegions.json` いう名前のファイルがあることを前提としたものです。このファイルを使用して、新しい Security Hub ポリシーを作成します。
```
$ aws organizations create-policy \
--content file://./testPolicy_enableAllSupportedRegions.json \
--name "testPolicy_enableAllSupportedRegions" \
--description "Test policy to enable securityhub in ALL_SUPPORTED Regions" \
--type SECURITYHUB_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-66ev7hgcvj",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/securityhub_policy/p-66ev7hgcvj",
"Name": "testPolicy_enableAllSupportedRegions",
"Description": "Test policy to enable securityhub in ALL_SUPPORTED Regions",
"Type": "SECURITYHUB_POLICY",
"AwsManaged": false
},
"Content": "{\n \"securityhub\": {\n \"enable_in_regions\": {\n \"@@assign\":[\n \"ALL_SUPPORTED\"\n ]\n },\n \"disable_in_regions\": {\n \"@@assign\":[]\n }\n }\n}\n"
}
}
```
**例: サポートされているすべてのリージョンで Security Hub を有効にし、us-east-1 リージョンで無効にするポリシーを作成する**
次の例は、JSON ポリシーのテキストを含む `testPolicy_enableAllSupportedRegions_Disable_us-east-1.json` いう名前のファイルがあることを前提としたものです。このファイルを使用して、新しい Security Hub ポリシーを作成します。
```
$ aws organizations create-policy \
--content file://./testPolicy_enableAllSupportedRegions_Disable_us-east-1.json \
--name "testPolicy_enableAllSupportedRegions_Disable_us-east-1" \
--description "Test policy to enable securityhub in ALL_SUPPORTED Regions but disable in us-east-1 Region" \
--type SECURITYHUB_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-66217dwpos",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/securityhub_policy/p-66217dwpos",
"Name": "testPolicy_enableAllSupportedRegions_Disable_us-east-1",
"Description": "Test policy to enable securityhub in ALL_SUPPORTED Regions but disable in us-east-1 Region",
"Type": "SECURITYHUB_POLICY",
"AwsManaged": false
},
"Content": "{\n \"securityhub\": {\n \"enable_in_regions\": {\n \"@@assign\":[\n \"ALL_SUPPORTED\"\n ]\n },\n \"disable_in_regions\": {\n \"@@assign\":[\n \"us-east-1\"\n ]\n }\n }\n}\n"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------