developersIO
[アップデート] AWS Organizations の SCP クォータが緩和され 1 エンティティに 10 個まで直接アタッチ可能になりました

[アップデート] AWS Organizations の SCP クォータが緩和され 1 エンティティに 10 個まで直接アタッチ可能になりました

AWS OrganizationsAWS
2026.05.16

はじめに

AWS Organizations で拒否リスト形式のガードレールを運用していると、SCP のアタッチ個数上限とポリシーの文字数上限の両方に当たることが少なくありません。

  • リージョン制限、EBS スナップショット公開禁止など個別に SCP 作成してと並べていくと 1 つの OU で 5 個の制限がキツイ
  • 5 個制限のために 1 つの SPC に複数のステートメントを入れていくと巨大な JSON になりがち

ツラミを抱えていた SCP のクォータが緩和されたアップデートが入りました。

https://aws.amazon.com/jp/about-aws/whats-new/2026/05/aws-organizations-increased-scp-quotas/

OU(1).png

アップデート内容早見

クォータの変更点は以下の 2 つです。どちらも 2 倍 に拡張されました。

項目 変更前 変更後
単一エンティティに直接アタッチできる SCP 数 5 10
SCP ポリシードキュメント最大サイズ 5,120 文字 10,240 文字

OU(2).png

クォータ引き上げための申請必要なく自動適用されています。

基本的な知識

押さえておきたい前提として、AWS Organizations で SCP を有効化すると、root・全 OU・全アカウントに FullAWSAccess(すべて許可ポリシー)が既定でアタッチされます。一般的な予防的ガードレールの設計としては Deny の SCP をアタッチして、禁止させたいアクションや、サービスを制限します。

OU.png

FullAWSAccess も、直接アタッチ 10 個の枠を 1 つ消費します。つまり Deny 系 SCP を新規に追加する場合、今までは FullAWSAccess を残す都合 1 エンティティあたり最大 4 個までしか追加できず窮屈でした。今回のアップデートにより最大 9 個まで追加可能となり余裕がうまれました。

SCP の継承も理解しておきましょう。クォータの 10 個は直接アタッチした SCP だけを数え、継承で適用される SCP はカウントしません。詳細は以下の記事をご確認ください。

https://dev.classmethod.jp/articles/organizations-scp-inheritance/

アップデート詳細

公式ドキュメントを確認した内容をメモっておきます。

アタッチ数の緩和

直接アタッチできる個数は、root・OU・アカウントいずれも 10 個 になっています。

Service control policy:

  • Maximum attached to root: 10
  • Maximum attached per OU: 10
  • Maximum attached per account: 10

出典: Quotas and service limits for AWS Organizations

各クォータの項目がそれぞれ 10 になっていました。

AWS_Organizations___クォータリスト___AWS_Service_Quotas.png

確認してみた

実際に OU へ SCP を 10 個アタッチできるの確認しました。TestPolicy-1〜9(9 個)+ FullAWSAccess(既定で 1 個)の合計 10 個アタッチできました。コンソール上の「適用されたポリシー (13)」は 継承分を含む合計表示 で、クォータ判定の対象は「直接アタッチ済み」と表示されている 10 個のみです。上位 OU や Root から継承された FullAWSAccess・CM-Root などはカウントされません。

Production-OU___AWS_Organizations___Global.png

10 個目のポリシーは追加できなく仕様通りです。

ポリシーをアタッチ___AWS_Organizations___Global.png

ポリシーサイズの拡張

Service Control Policy の最大ポリシードキュメントサイズが 10,240 characters に更新されています。

Maximum size of a policy document:

  • Service control policies: 10,240 characters

出典: Quotas and service limits for AWS Organizations

サービスクォータの値も更新されています。

AWS_Organizations___クォータリスト___AWS_Service_Quotas-2.png

確認してみた

上限はあるのでなんでもかんでも詰め込むと当然ですが上限サイズのエラーになります。

ポリシーを編集___AWS_Organizations___Global.png

とはいえCondition.ArnNotLike で管理者ロールを除外するなど、除外項目が複数あると制限項目ごとに文字数がかさみがちです。10,240 文字まで使えるようになったので文字数制限はだいぶ緩和されました。

まとめ

AWS Organizations の SCP に関するクォータが 2 つ同時に緩和されました。単一エンティティに直接アタッチできる個数は 5 から 10 へ、ポリシードキュメントの最大サイズは 5,120 文字から 10,240 文字 へと拡張されました。

OU(2).png

おわりに

今回のアップデートは新機能ではなく純粋な上限緩和ですが、設計面ではありがたい内容でした。

細かく役割を分けた拒否リストの SCP は今までやりづらかったですが、アタッチできる SCP の個数が増えたため検討の余地はあるかもしれません。将来的に制限するものが増えそうな予定があれば 10 個(実質 9 個)では心もとない数ではありますが。

従来の通りの運用の場合は、新しい SCP をアタッチするか、1 つの SCP にもっと詰め込むか、どちらの方法も取りやすくなったのでよかったです。

参考

この記事をシェアする

AWSのお困り事はクラスメソッドへ

関連記事

AWS Organizations の SCP クォータが倍増したので実際に10個アタッチと10,240文字ポリシーを試してみた
suzuki.ryo
2026.05.16
【アップデート】 AWS Organizations SCPでIAMと同等の記述が可能になりました
おつまみ
2025.09.26
【AWS Organizations】 管理アカウントにはSCPが適用されません
あしざわ
2025.05.30
SCPと許可セットを設計するベストプラクティスについて
Lee Sujae
2026.02.28