翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Organizations タグポリシー
<a name="tag-policies-orgs"></a>

[タグポリシー](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies.html)は、 AWS Organizationsで作成するポリシーのタイプです。タグポリシーを使用すると、組織のアカウント内のリソース間でタグを標準化できます。タグポリシーを使用するには、「AWS Organizations ユーザーガイド」の「[タグポリシーの開始方法](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)」で説明されているワークフローに従うことをお勧めします。そのページで説明されているように、推奨されるワークフローには、非準拠のタグの検出および修正が含まれます。これらのタスクを実行するには、タグエディタ コンソールを使用します。

## 前提条件とアクセス許可
<a name="tag-policies-prereqs"></a>

タグエディタ でタグポリシーのコンプライアンスを評価する前に、要件を満たし、必要なアクセス許可を設定する必要があります。

**Topics**
+ [タグポリシーのコンプライアンスを評価するための前提条件](#tag-policies-prereqs-overview)
+ [アカウントのコンプライアンスを評価するためのアクセス許可](#tag-policies-permissions-account)
+ [組織全体のコンプライアンスを評価するためのアクセス許可](#tag-policies-permissions-org)
+ [レポートを保存するための Amazon S3 バケットポリシー](#bucket-policy)

### タグポリシーのコンプライアンスを評価するための前提条件
<a name="tag-policies-prereqs-overview"></a>

タグポリシーのコンプライアンスを評価するには、以下のようにする必要があります。
+ 最初に で機能を有効にし AWS Organizations、タグポリシーを作成してアタッチする必要があります。詳細については、*AWS Organizations ユーザーガイド*の以下のページを参照してください。
  + [タグポリシーを管理するための前提条件とアクセス許可](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-prereqs.html)
  + [タグポリシーの有効化](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_enable-disable.html)
  + [タグポリシーの開始方法](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)
+ [**アカウントのリソースで非準拠のタグを検出する**](tag-policies-orgs-finding-noncompliant-tags.md)場合は、そのアカウントのサインイン資格情報と、[アカウントのコンプライアンスを評価するためのアクセス許可](#tag-policies-permissions-account) に記載されているアクセス許可が必要です。
+ [**組織全体のコンプライアンスを評価する**](tag-policies-orgs-evaluating-org-wide-compliance.md)場合は、組織の管理アカウントのサインイン認証情報と、[組織全体のコンプライアンスを評価するためのアクセス許可](#tag-policies-permissions-org) に記載されているアクセス許可が必要です。コンプライアンスレポートは、 AWS リージョン 米国東部 (バージニア北部) からのみリクエストできます。

### アカウントのコンプライアンスを評価するためのアクセス許可
<a name="tag-policies-permissions-account"></a>

アカウントのリソースで非準拠のタグを検出するには、以下のアクセス許可が必要です。
+ `organizations:DescribeEffectivePolicy` — アカウントの有効なタグポリシーの内容を取得します。
+ `tag:GetResources` — アタッチされたタグポリシーに準拠していないリソースのリストを取得します。
+ `tag:TagResources` - タグを追加または更新します。タグを作成するには、サービス固有のアクセス許可も必要です。例えば、Amazon Elastic Compute Cloud (Amazon EC2) のリソースにタグを付けるには、`ec2:CreateTags` のアクセス許可が必要です。
+ `tag:UnTagResources` — タグを削除します。タグを削除するには、サービス固有のアクセス許可も必要です。例えば、Amazon EC2 のリソースのタグを解除するには、`ec2:DeleteTags` のアクセス許可が必要です。

次の例 AWS Identity and Access Management (IAM) ポリシーは、アカウントのタグコンプライアンスを評価するためのアクセス許可を提供します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EvaluateAccountCompliance",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeEffectivePolicy",
                "tag:GetResources",
                "tag:TagResources",
                "tag:UnTagResources"
            ],
            "Resource": "*"
        }
    ]
}
```

------

IAM ポリシーおよび許可の詳細については、[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/)を参照してください。

### 組織全体のコンプライアンスを評価するためのアクセス許可
<a name="tag-policies-permissions-org"></a>

タグポリシーへの組織全体のコンプライアンスを評価するには、以下のアクセス許可が必要です。
+ `organizations:DescribeEffectivePolicy` — 組織、組織単位 (OU)、またはアカウントにアタッチされているタグポリシーの内容を取得します。
+ `tag:GetComplianceSummary` - 組織内のすべてのアカウントから非準拠リソースの概要を取得します。
+ `tag:StartReportCreation` — 最新のコンプライアンス評価の結果をファイルにエクスポートします。組織全体のコンプライアンスは 48 時間ごとに評価されます。
+ `tag:DescribeReportCreation` — レポート作成のステータスを確認します。
+ `s3:ListAllMyBuckets` - 組織全体のコンプライアンスレポートへのアクセスを支援します。
+ `s3:GetBucketAcl` – コンプライアンスレポートを受け取る Amazon S3 バケットのアクセスコントロールリスト (ACL) を確認します。
+ `s3:GetObject` – サービス所有の Amazon S3 バケットからコンプライアンスレポートを取得します。
+ `s3:PutObject` – 指定した Amazon S3 バケットにコンプライアンスレポートを配置します。

レポートが配信される Amazon S3 バケットが SSE-KMS で暗号化されている場合は、そのバケットに対する アクセス`kms:GenerateDataKey`許可も必要です。

次の IAM ポリシーの例では、組織全体のコンプライアンスを評価するためのアクセス許可を提供しています。各{{プレースホルダー}}はお客様の情報に置き換えてください。
+ {{`bucket_name`}} – お客様の Amazon S3 バケット名 
+ {{`organization_id`}} – お客様の組織の ID 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EvaluateAccountCompliance",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeEffectivePolicy",
                "tag:StartReportCreation",
                "tag:DescribeReportCreation",
                "tag:GetComplianceSummary",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GetBucketAclForReportDelivery",
            "Effect": "Allow",
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::{{bucket_name}}",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GetObjectForReportDelivery",
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::*/tag-policy-compliance-reports/*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
                }
            }
        },
        {
            "Sid": "PutObjectForReportDelivery",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::{{bucket_name}}/AwsTagPolicies/{{organization_id}}/*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "tagpolicies.tag.amazonaws.com"
                },
                "StringLike": {
                    "s3:x-amz-copy-source": "*/tag-policy-compliance-reports/*"
                }
            }
        }
    ]
}
```

------

IAM ポリシーおよび許可の詳細については、[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/)を参照してください。

### レポートを保存するための Amazon S3 バケットポリシー
<a name="bucket-policy"></a>

組織全体のコンプライアンスレポートを作成するには、`StartReportCreation` API の呼び出しに使用する ID で、米国東部 (バージニア北部) リージョンにある Amazon Simple Storage Service (Amazon S3) バケットにアクセスして、レポートを保存できる必要があります。タグポリシーでは、呼び出し元の ID の認証情報を使用して、指定したバケットにコンプライアンスレポートが送信されます。

バケットと、`StartReportCreation` API の呼び出しに使用する ID が*同じアカウントに属する*場合、このユースケースでは追加の Amazon S3 バケットポリシーは不要です。

`StartReportCreation` API の呼び出しに使用する ID に関連付けられたアカウントが、Amazon S3 バケットを所有するアカウントと*異なる*場合、以下のバケットポリシーをバケットにアタッチする必要があります。各{{プレースホルダー}}はお客様の情報に置き換えてください。
+ {{`bucket_name`}} – お客様の Amazon S3 バケット名 
+ {{`organization_id`}} – お客様の組織の ID 
+ {{`identity_ARN`}} – `StartReportCreation` API の呼び出しに使用する IAM ID の ARN 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	  
    "Statement": [ 
        { 
            "Sid": "CrossAccountTagPolicyACL", 
            "Effect": "Allow", 
            "Principal": {
                "AWS": "{{identity_ARN}}"
            }, 
            "Action": "s3:GetBucketAcl", 
            "Resource": "arn:aws:s3:::{{bucket_name}}"
         }, 
         { 
            "Sid": "CrossAccountTagPolicyBucketDelivery", 
            "Effect": "Allow", 
            "Principal": {
                "AWS": "{{identity_ARN}}"
            }, 
            "Action": "s3:PutObject", 
            "Resource": "arn:aws:s3:::{{bucket_name}}/AwsTagPolicies/{{organization_id}}/*"
         } 
    ] 
}
```

------