「医療DXを加速させる」楽しい技術者集団、ispec inc.にて技術顧問をしております、須藤です。あれこれと調べ物をしてたら記事が出来上がってしまいましたので、ispec inc.アドベントカレンダーに寄稿させていただきました。
今年のre:invent 2025、Organizations統合の機能がけっこう増えましたね。何がどう増えたか把握できていますか?良い機会なのでおさらいしましょう。
12/4現在の英語版の公式ドキュメントをベースに見ていきます!
個々の機能の詳しい紹介については、クラスメソッド様の記事に譲ります(いつも素早く記事化してくださっており助かっています!)
Authorization Policies
組織全体での認可ポリシー。SCPとRCPの2つがあります。今回ここには大きな変更はありませんでした(よね…?)
SCP (Service Control Policies)
典型的には、組織全体で実行させたくないServiceやActionを制限するために利用します。
極めて強力に組織全体のガバナンスを定義しやすく、2025年9月のアップデートでAllowステートメントも記述できるようになったため、柔軟性も増しました。
RCP (Resource Control Policies)
典型的には、リソースポリシーによって組織外へのリソース共有が可能なサービスに対して、組織外のリソース共有を制限するために利用します。
リソースポリシーに対応する以下のサービスが対象になっています。
- Amazon S3
- AWS Security Token Service(STS)
- AWS Key Management Service(KMS)
- Amazon SQS
- AWS Secrets Manager
- Amazon Elastic Container Registry(ECR)
- Amazon OpenSearch Serverless
Management policies
組織全体での管理ポリシー。対象によって細かくポリシーが分かれていて、今回、ここが大きく拡充されました。
Declarative policies
宣言型ポリシー。昨年のre:invent 2024で発表された管理ポリシーですね。
現在は、Declarative policies for EC2という形で、EC2に関連した以下の機能に関するポリシーを記述できます。
- Amazon VPC
- VPC Block Public Access
- Amazon EC2
- Serial Console Access
- AMIs Block Public Access
- Allowed AMIs Settings
- Instance Metadata Defaults
- Amazon EBS
- Snapshot Block Public Access
アカウントレベルでは設定しているけど、Organizationsレベルで管理できることは知らない人も多そうなところですね。
Backup policies
AWS Backupを利用したバックアップを組織全体に適用するための管理ポリシーです。
このポリシーで定義されたバックアッププランは、各アカウントでは変更できないバックアッププランとして表示され実行されます。
Tag policies
タグ付けの標準化を組織全体に適用するための管理ポリシーです。
コスト管理上、コスト配分タグを付けておいて貰う必要がある場合などに便利ですね。
Chat applications policies
チャット連携の制約を組織全体に適用するための管理ポリシーです。
対象はSlack、Teams、Chimeですが、ワークスペース/チームの制限ができるのはSlackとTeamsですので、その用途で使うことが多いでしょう。
AI services opt-out policies
AI関連サービスにおいて、運用上の問題の解決、サービスパフォーマンスの評価、デバッグ、モデルのトレーニングなど、サービス改善のためにお客様のコンテンツを使用および保存する場合があります、という入力データの扱いを組織全体でオプトアウトするための管理ポリシーです。
個人情報やセンシティブな情報を扱う場合は、基本的にすべてオプトアウトするポリシーを導入しましょう。対象は以下のサービスです。
- Amazon AI Operations
- Amazon Chime SDK voice analytics
- Amazon CloudWatch
- Amazon CodeGuru Profiler
- Amazon CodeWhisperer (now part of Amazon Q Developer)
- Amazon Comprehend
- Amazon Connect
- Amazon Connect Optimization
- Amazon Connect Contact Lens
- AWS Database Migration Service
- Amazon DataZone
- AWS Entity Resolution
- Amazon Fraud Detector
- AWS Glue
- Amazon GuardDuty
- Amazon Lex
- Amazon Polly
- Amazon Q
- Amazon Quick Suite
- Amazon Rekognition
- Amazon Security Lake
- AWS Supply Chain
- Amazon Textract
- Amazon Transcribe
- AWS Transform
- Amazon Translate
- AWS Security Hub
- Amazon SageMaker Unified Studio MCP
Security Hub policies
re:inforce 2025で発表された新しいSecurity Hubに付随する機能として利用できるようになっていた、Security Hubの管理ポリシーです。今回、PreviewからGAになりました。
現状は、リージョン単位の有効無効を管理する機能になっています。
Amazon Bedrock policies
Bedrock Guardrailsによるガードレールを組織全体に適用するための管理ポリシーです(ポリシー自体がガードレールではないのでややこしい…)。
Bedrockを利用するけど組織全体で一定のガードレールを強制した上で利用したい、という場合に使うと良いでしょう。
Amazon Inspector policies
Inspectorを組織全体に適用するための管理ポリシーです。
スキャンタイプごとにリージョン単位で設定できます。
Upgrade rollout policies
AuroraやRDSのマイナーバージョンアップグレードがロールアウトされる優先順位を組織全体で適用するための管理ポリシーです。
検証環境で先にロールアウトさせ、本番環境では最後にロールアウトされるようにしたい、というときに使っておくと良いでしょう。
Amazon S3 policies
S3のブロックパブリックアクセスを組織全体に適用するための管理ポリシーです。
おわりに
なんだかずいぶん増えたような気がしますね!
何を守りたいか、どう守りたいかによって、どのポリシーに何を書くか、というのが決まってきます。
Organizations全体で守れるもの・守って差し支えないものは、Organizations全体で守っていきましょう!