AWS Organizations メンバーアカウントのユーザーが、サービスコントロールポリシー (SCP) またはタグポリシーを使用して AWS リソースを作成できないようにしたいと考えています。
簡単な説明
SCP は組織内のアクセス許可の管理には使用できますが、アクセス許可の付与には使用できません。詳細については、「サービスコントロールポリシー (SCP)」を参照してください。
タグポリシーは、Organizations のアカウントの AWS リソースで標準化されたタグを維持するために使用できます。詳細については、「タグポリシー」を参照してください。
解決方法
ユースケースに応じて、次の SCP ポリシーまたはタグポリシーを使用します。
タグポリシーを使用して既存のリソースへのタグ付けを防止する
既存のリソースのタグに影響する操作を実行すると、タグポリシーがチェックされます。例えば、タグポリシーでは、AWS リソース上の指定されたタグを非準拠のタグにユーザーが変更できないように強制できます。
次のタグポリシー例では、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに適用される環境と本番環境としてタグのキーと値のペアを許可しています。このポリシーでは、ユーザーが既存の Amazon EC2 インスタンスでこのタグを変更することは禁止されていますが、準拠していないタグを使用して、またはタグなしで新しいインスタンスを起動することは禁止されません。
{
"tags": {
"Environment": {
"tag_key": {
"@@assign": "Environment"
},
"tag_value": {
"@@assign": [
"Production"
]
},
"enforced_for": {
"@@assign": [
"ec2:instance"
]
}
}
}
}
SCP を使用して、新しいリソースを作成する際のタグ付けを防止する
SCP を使用すると、Organization のタグ付け制限ガイドラインでタグ付けされていない AWS リソースが新しく作成されないようにすることができます。特定のタグが存在する場合にのみ AWS リソースが作成されるようにするには、SCP ポリシーの例を使用して、作成された特定のリソースにタグを要求します。
関連情報
AWS Organizations のサービスコントロールポリシーと IAM ポリシーの違いは何ですか?