クリーンアップ5. Organizationsポリシーの無効化 (CloudShell: SERVICE_CONTROL_POLICY)

手順の目的

Organizations組織のポリシータイプ"SERVICE_CONTROL_POLICY"を無効にします。

設定値の指定

手順に必要な設定値を変数に格納をします。

1. Organizationsポリシータイプ名

Organizationsポリシータイプ名を指定します。

変数の設定:

ORGANIZATIONS_POLICY_TYPE_NAME="SERVICE_CONTROL_POLICY"

設定値の確認

各変数に正しい設定値が格納されていることを確認します。

変数の確認:

cat << END

  # 1. ORGANIZATIONS_POLICY_TYPE_NAME:"SERVICE_CONTROL_POLICY"
       ORGANIZATIONS_POLICY_TYPE_NAME="${ORGANIZATIONS_POLICY_TYPE_NAME}"

END

各変数について、上の行と下の行の値の内容もしくは形式が同じであることを確認します。 もし異なる場合は、それぞれの手順番号に戻って変数の設定を行います。

処理の実行

組織ルートIDを取得します。

コマンド:

ORGANIZATIONS_ROOT_ID=$( \
  aws organizations list-roots \
    --query 'Roots[?Name == `Root`].Id' \
    --output text \
) \
  && echo ${ORGANIZATIONS_ROOT_ID}

結果(例):

r-xxxx

完了確認

Organizationsポリシータイプを無効にします。

変数の確認:

cat << END

  # ORGANIZATIONS_ROOT_ID:"r-xxxx"
    ORGANIZATIONS_ROOT_ID="${ORGANIZATIONS_ROOT_ID}"
  # ORGANIZATIONS_POLICY_TYPE_NAME:"SERVICE_CONTROL_POLICY"
    ORGANIZATIONS_POLICY_TYPE_NAME="${ORGANIZATIONS_POLICY_TYPE_NAME}"

END

コマンド:

aws organizations disable-policy-type \
  --root-id ${ORGANIZATIONS_ROOT_ID} \
  --policy-type ${ORGANIZATIONS_POLICY_TYPE_NAME}

結果(例):

{
    "Root": {
        "Id": "r-xxxx",
        "Arn": "arn:aws:organizations::XXXXXXXXXXXX:root/o-xxxxxxxxxx/r-xxxx",
        "Name": "Root",
        "PolicyTypes": [
            {
                "Type": "SERVICE_CONTROL_POLICY",
                "Status": "ENABLED"
            }
        ]
    }
}

完了確認

本手順の主処理は、以下の完了条件を満たしたときに成功したものとします。

完了条件1: Organizationsポリシータイプ"SERVICE_CONTROL_POLICY"が有効になっていない。

「Organizationsポリシータイプ"SERVICE_CONTROL_POLICY"が有効になっていない。」ことを確認します。

コマンド:

aws organizations list-roots \
  --query "Roots[].PolicyTypes[?Type == \`${ORGANIZATIONS_POLICY_TYPE_NAME}\`].Status" \
  --output text

結果(例):

(出力なし)

手順の完了

(参考) マネジメントコンソールの確認

• Organizationsダッシュボード( https://console.aws.amazon.com/organizations/v2/home/accounts)にアクセスします。

• 左ペインの"AWSアカウント"をクリックします。

AWSアカウント(画面)

• 組織が存在することを確認します。

課題

動作確認