セキュリティサービス部 佐竹です。
AWS Organizations において、少々気になるアップデート、といいますか「機能(属性)の名称変更」がありましたので周知目的で記載します。
- はじめに
- これまでと日本語版のドキュメント
- Management policies は Declarative policies へ
- Declarative policies for EC2 は Amazon EC2 policies へ
- Declarative policies のドキュメントの強化
- まとめ
はじめに
2026年5月6日に AWS 公式ドキュメントがアップデートされ、AWS Organizations のポリシーに関する名称変更が行われました。変更があったドキュメントは以下です。
最初にまとめてしまいましょう。今回変更された機能名称は、以下の通りとなります。
- 管理ポリシー (Management policies) の名称が変更され、宣言型ポリシー (Declarative policies) となりました
- これに伴い、Declarative policies for EC2 が Amazon EC2 policies へと合わせて名称変更されました
これらの機能(ポリシー)そのものに仕様変更があったわけではないのですが、運用や設計において「ドキュメントを読んでいると混乱を招きかねない」名称変更が含まれているので、少しブログで取り上げます。
これまでと日本語版のドキュメント
2025年11月末に、以下のブログの通り「AWS Organizations における全ポリシーを整理して理解する (2025年11月版)」を執筆しました。
ここで、AWS Organizations における「組織ポリシー (Organization policies)」は、「承認ポリシー」と「管理ポリシー」に大別されるとして記述を開始しています。
承認ポリシーは英語で「Authorization policies」、管理ポリシーは「Management policies」でした。
また、管理ポリシーに所属する「Declarative policies for EC2」は、唯一の「宣言型ポリシー」として存在していました。
実際、2026年6月1日時点でもいまだに、日本語版のドキュメントは管理ポリシーのままであり、「Declarative policies for EC2」は「宣言型ポリシー」として存在しているように読めます。
Management policies は Declarative policies へ
では英語版で表示してみましょう。
Management policies が Declarative policies へ変更されていることがわかります。
Declarative policies help you centrally configure and manage AWS services and their features across an organization.
[和訳]
宣言型ポリシーを使用すると、組織全体で AWS サービスとその機能を一元的に構成および管理できます。
これまで「Declarative policies」と言えば「Declarative policies for EC2」のことであり、これが唯一の「宣言型ポリシー」として存在していたのですが、「Declarative policies」という名称自体が「代表的なポリシー名」にまで上り詰めてしまいました。
非常にややこしいです。
Declarative policies for EC2 は Amazon EC2 policies へ
「Declarative policies」という名称自体が「代表的なポリシー名」にまで上り詰めた結果として、Declarative policies for EC2 は Amazon EC2 policies という名称へ改められました。
これは既に AWS マネジメントコンソールにおける AWS Organizations のポリシー一覧にも反映されていることが確認できます。
Declarative policies のドキュメントの強化
この画面キャプチャの通り、これまで「管理ポリシー」の説明ページは簡素でした。
上記 URL がそのリンク先です。現時点ではまだ存在していますが、今後参照できなくなるでしょう。
今回、「Declarative policies in AWS Organizations」として生まれ変わるにあたり、ドキュメントは大幅に加筆されています。
新しいドキュメントでは、宣言型ポリシーの概念やメリット、仕組みが解説されています。その中でも、特にテーブル (How declarative policies work) での比較をご紹介します。
| SCP | RCP | 宣言型ポリシー | |
|---|---|---|---|
| 目的 | プリンシパル(IAM ユーザーや IAM ロールなど)に対する一貫したアクセスコントロールを、大規模かつ一元的に定義し適用するため | リソースに対する一貫したアクセスコントロールを、大規模かつ一元的に定義し適用するため | AWS サービスのベースライン設定を、大規模かつ一元的に定義し適用するため |
| 方法 | API レベルで、プリンシパルが利用可能な最大アクセス権限を制御することによって | API レベルで、リソースが利用可能な最大アクセス権限を制御することによって | API アクションを使用せずに、AWS サービスの意図した設定を強制することによって |
| Service-linked role の制御 | いいえ | いいえ | はい |
| ポリシーの例 | メンバーアカウントによる組織からの離脱を拒否する | リソースへのアクセスを HTTPS 接続のみに制限する | 許可されたイメージの設定 |
SCP も RCP もどちらも「Authorization policies」ですが、その2つが個別に比較されている点がユニークです。
まとめ
本日は、AWS Organizations のポリシーに関する名称変更について、周知目的で記載しました。
改めて、今回の AWS ドキュメントにおける名称変更のまとめです。
- 「管理ポリシー (Management policies)」 というカテゴリが 「宣言型ポリシー (Declarative policies)」 に変更されました
- 元々存在していた「Declarative policies for EC2」は「Amazon EC2 policies」に名称変更されました
- 現時点で日本語版ドキュメントには旧表記が残っているため、英語ドキュメントとの差異(および過去のブログ記事との差異)に注意が必要な状況です
- 名称変更に合わせて公式ドキュメントが拡充され、SCP/RCP と宣言型ポリシーの役割の違いが補強されました
単なる機能の名称変更にとどまらず、新しく追加された比較表等からもわかる通り、AWS Organizations におけるポリシー管理が「アクセス制御(Authorization)」と「ベースライン設定の強制(Declarative)」という明確な役割分担となりました。
しばらくの間は「Declarative policies」という単語が「旧: Declarative policies for EC2」を指しているのか、新しい大カテゴリ「旧: 管理ポリシー」を指しているのか、文脈を読み取る必要があります。だいぶややこしい時期が続きそうです。
というわけで、本ブログが皆様の混乱を避ける一助となれば幸いです。
では、またお会いしましょう。
佐竹 陽一 (Yoichi Satake) エンジニアブログの記事一覧はコチラ
セキュリティサービス部所属。AWS資格全冠。2010年1月からAWSを業務利用してきています。主な表彰歴 2021-2022 AWS Ambassadors/2020-2025 Japan AWS Top Engineers/2020-2025 All Certifications Engineers。AWSのコスト削減やマルチアカウント管理と運用を得意としています。
