Was ist der Unterschied zwischen einer Servicekontrollrichtlinie von AWS Organizations und einer IAM-Richtlinie?
Was ist der Unterschied zwischen einer Service Control Policy (SCPs) von AWS Organizations und einer AWS Identity and Access Management (IAM)-Richtlinie? Wie kann ich sie zusammen verwenden?
Lösung
SCPs für AWS-Organisationen
SCPs von AWS Organizations ersetzen nicht die zugehörigen IAM-Richtlinien innerhalb eines AWS-Kontos.
Sie können SCPs verwenden, um den Zugriff auf AWS-Services für einzelne AWS-Konten mit Mitgliedskonten von AWS Organizations oder für Gruppen von Konten innerhalb einer Organisationseinheit (OU) zu gewähren oder zu verweigern. Die angegebenen Aktionen eines angehängten SCP wirken sich auf alle IAM-Identitäten aus, einschließlich des Root-Benutzers des Mitgliedskontos.
AWS-Services, die von den SCPs, die einem AWS-Konto oder seinen übergeordneten OUs zugeordnet sind, nicht ausdrücklich zugelassen sind, wird der Zugriff auf die mit dem SCP verknüpften AWS-Konten oder OUs verweigert. SCPs, die einer Organisationseinheit zugeordnet sind, werden von allen AWS-Konten in dieser Organisationseinheit vererbt.
Weitere Informationen finden Sie unter Beispiel für Richtlinien zur Dienststeuerung.
IAM-Richtlinien
IAM-Richtlinien erlauben oder verweigern den Zugriff auf AWS-Services oder API-Aktionen, die mit IAM funktionieren. Eine IAM-Richtlinie kann nur auf IAM-Identitäten (Benutzer, Gruppen oder Rollen) angewendet werden. IAM-Richtlinien können den Root-Benutzer des AWS-Kontos nicht einschränken.
Weitere Informationen finden Sie unter Beispiel für identitätsbasierte IAM-Richtlinien.
Weitere Informationen darüber, wie Sie IAM verwenden können, um den Zugriff auf Ihr Unternehmen zu sichern, finden Sie unter AWS Identity and Access Management und AWS Organizations.
Ähnliche Informationen
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 9 Monaten
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 4 Jahren