理論

• 明示的な「拒否」ポリシーが設定されていない場合、デフォルトでは許可される。

• もしSCPで**「拒否」**が設定されていれば、その拒否は組織全体に適用され、下位アカウントやリソースでもその操作は行えません。

例：

1. ルートアカウント に「全て拒否」のSCPを設定 → すべての操作が拒否されます。

2. メンバーアカウント に「特定の操作を許可」のSCPを設定 → ルートアカウントの拒否が優先されるため、その操作は実行できません。

1. AWS Organizations:
• 複数のAWSアカウントを一元管理するサービス。
• 組織単位（OU）を使用してアカウントを階層的にグループ化し、各OUにポリシーを適用できる。

2. タグポリシー:
• AWSリソースにタグを標準化して適用するためのルール。
• タグの値や名前を指定して、リソース作成時にタグを必須にしたり、特定の値を要求することができる。

3. サービス制御ポリシー（SCP）:
• AWS Organizations内でアカウントに適用するアクセス制御ポリシー。
• リソース作成時に必要なタグが欠けている場合の制限を加えることができる。

4. リソース作成時のタグ要求:
• リソース作成時にタグを必須にしたり、特定のタグ値を要求する場合、タグポリシーとSCPを組み合わせて設定する。
• OUごとに異なるタグ値を要求する場合、各OUに対して異なるタグポリシーを適用する。

5. 最適なアプローチ:
• タグポリシーで各OUに対するタグの要件を定義し、SCPでタグなしでリソースを作成できないように制限することが最も効果的な方法です。

• 拒否ポリシーは常に許可ポリシーより優先されます。もしある操作を確実に禁止したい場合は、明示的に拒否するポリシーを使うことが重要です。

• つまり、AWSでは「拒否」が「許可」よりも強い力を持っているということです。

実践

一問道場