¿Cuál es la diferencia entre una política de control de servicio de AWS Organizations y una política de IAM?

Solución

SCP de AWS Organizations

Las SCP de AWS Organizations no sustituyen a las políticas de IAM de asociación dentro de una cuenta de AWS.

Puede utilizar SCP para conceder o denegar el acceso a servicios de AWS para cuentas de AWS individuales con cuentas miembro de AWS Organizations o para grupos de cuentas dentro de una unidad organizativa (OU). Las acciones especificadas a partir de una SCP asociada afectan a todas las entidades de IAM, incluido el usuario raíz de la cuenta miembro.

A los servicios de AWS que no estén permitidos explícitamente por las SCP asociadas a una cuenta de AWS o sus OU principales se les deniega el acceso a las cuentas de AWS o a las OU asociadas a la SCP. Todas las cuentas de AWS de una OU heredan las SCP asociadas a esa OU.

Para obtener más información, consulte Ejemplo de políticas de control de servicios.

Políticas de IAM

Las políticas de IAM conceden o deniegan el acceso a servicios de AWS o acciones de API que funcionen con IAM. Una política de IAM solo se puede aplicar a identidades de IAM (usuarios, grupos o roles). Las políticas de IAM no pueden restringir el acceso del usuario raíz de la cuenta de AWS.

Para obtener más información, consulte Ejemplos de políticas basadas en identidades de IAM.

Para obtener más información sobre cómo se puede utilizar IAM para garantizar el acceso a su organización, consulte AWS Identity and Access Management y AWS Organizations.

Información relacionada

Tutorial: Creación y configuración de una organización

Terminología y conceptos de AWS Organizations