AWS Organizations連携サービス最新情報＆セットアップのコツ 第18回 AWS Organizations関連の注目の最新アップデート

（1）管理アカウントでレポート出力用のS3バケットを作成します。S3バケットはus-east-1で作成します。具体的な手順はこちらに記載がありますが、バケットポリシーの部分が少しわかりにくいので、筆者が動作確認できたバケットポリシーの例も共有します。

{
"Version": "2012-10-17",
"Statement": [{
"Sid": "DeclarativePoliciesReportBucket",
"Effect": "Allow",
"Principal": {
"Service": ["report.declarative-policies-ec2.amazonaws.com"]
},
"Action": ["s3:PutObject"],
"Resource": "arn:aws:s3:::S3バケット名/*",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:declarative-policies-ec2:us-east-1:アカウントID:*"
}
}
}]
}

（2）アクションから「アカウントステータスレポートを表示」をクリックします。

（3）「ステータスレポートを生成」ボタンをクリックします。

（4）作成したS3バケットを選択し、レポート対象となるOUを指定したうえで、「生成」ボタンをクリックします。

（5）正常に処理が開始されたことを確認します。

（6）少し待つとレポートが確認できるようになります。今回適用しようとしたOUでは、一貫した設定が使われており、宣言型ポリシーの利用には問題なさそうであることが確認できました。

（7）続いて、実際の宣言型ポリシーの設定を行います。再び宣言型ポリシーのページに戻り、「ポリシーを作成」ボタンをクリックします。

（8）ポリシー名と説明を入力し、サービス属性を選択します。今回はインスタンスメタデータをv2のみに強制するポリシーを作成します。

（9）宣言型ポリシーの特徴の一つであるカスタムエラーメッセージの設定も行い、「ポリシーを作成」ボタンをクリックします。

（10）正常に作成完了することを確認します。

（11）先ほどのリソースコントロールポリシーと同じく、SystemsManager OUへの適用を行います。「ポリシー」タブのEC2の宣言型ポリシーの「アタッチ」をクリックします。