0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

【AWS Organizations】SCP(サービスコントロールポリシー)の適用範囲について

Posted at

はじめに

AWS Organizationsを使えば、複数のAWSアカウントを一元管理できます。その中でも「サービスコントロールポリシー(SCP)」は、組織内のアカウントに対するアクセス制御の要となる機能です。

本記事では、SCPの適用範囲について分かりやすく解説します。


サービスコントロールポリシー(SCP)とは?

SCPは、組織内のAWSアカウントで許可されるアクションの最大許可範囲(Permissions guardrail)を定義するポリシーです。

SCPはIAMポリシーとは異なり、そのアカウントでIAMポリシーが許可していても、SCPで拒否されていれば実行不可になります。


適用範囲の基本ルール

1. SCPはOU(組織単位)またはアカウントに直接アタッチできる

  • SCPは以下のいずれかにアタッチできます:
    • 組織(Root)
    • OU(Organizational Unit)
    • 個別のAWSアカウント

2. SCPは「継承」される

  • OUやRootに設定したSCPは、配下のOUやアカウントにも自動的に適用されます。
  • 例えば、Rootに設定したSCPは、すべてのOU・アカウントに影響します。

3. IAMユーザー・ロールではなく「アカウント」に対して適用される

  • SCPの対象はIAMユーザーやロールではなく、アカウント単位です。
  • そのアカウント内のすべてのエンティティ(ルートユーザー、IAMユーザー、ロール)に適用されます。

適用対象となるユーザー

ユーザー種別 SCPの適用有無
IAMユーザー ✅ 適用される
IAMロール ✅ 適用される
ルートユーザー ✅ 適用される
管理アカウント ✅ 適用される(SCP有効時)

🔍 ポイント:SCPはルートユーザーにも適用される点が、IAMポリシーとの大きな違いです。


「有効なポリシーセット」として評価される仕組み

アクションが許可されるには、以下の両方を満たす必要があります:

SCPで許可されている × IAMポリシーで許可されている

つまり、SCPとIAMポリシーの両方で明示的に許可されている必要があり、どちらかで拒否されていれば実行不可になります。


適用される階層と継承のイメージ図(文章)

[ Root ]
   └── [ OU A ] ← SCPがアタッチされていれば、配下のアカウントにも適用
         ├── [ Account 1 ]
         └── [ Account 2 ]

たとえば、「OU A」にSCPを設定すれば、Account 1 と Account 2にもそのポリシーが継承されます。


よくある誤解と注意点

  • IAMポリシーで制限すれば十分?
    → ルートユーザーにはIAMポリシーを適用できません。SCPが必要です。

  • SCPを設定すれば自動で制御される?
    デフォルトでは「FullAWSAccess」というSCPがアタッチされています。不要なサービスを制限するには、これを無効化して独自ポリシーを作成する必要があります。


まとめ

項目 ポイント
適用単位 OUまたはアカウント
適用範囲 配下のすべてのIAMエンティティ(ユーザー、ロール、ルートユーザー)
継承 上位のOUやRootから自動で継承される
IAMとの違い IAMポリシーはユーザー単位、SCPはアカウント単位で制御
設定場所のおすすめ なるべくRootにまとめて設定することで効率的に管理可能

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?