Qual è la differenza tra un criterio di controllo dei servizi AWS Organizations e un criterio IAM?

2 minuti di lettura
0

Qual è la differenza tra un criterio di controllo dei servizi (SCP) di AWS Organizations e un criterio di Identity and Access Management (IAM) di AWS? Come posso utilizzarle insieme?

Risoluzione

SCP di AWS Organizations

Le SCP di AWS Organizations non sostituiscono l'associazione delle policy IAM all'interno di un account AWS.

Puoi utilizzare le SCP per consentire o negare l'accesso ai servizi AWS per singoli account AWS con account membri di AWS Organizations o per gruppi di account all'interno di un'unità organizzativa (UO). Le operazioni specificate da una SCP collegata influiscono su tutte le identità IAM, incluso l'utente root dell'account membro.

I servizi AWS che non sono esplicitamente consentiti dagli SCP associati a un account AWS o alle sue UO principali non possono accedere agli account AWS o alle UO associate all'SCP. Gli SCP associati a una OU sono ereditati da tutti gli account AWS di quella UO.

Per ulteriori informazioni, consulta Policy di controllo dei servizi di esempio.

Policy IAM

Le policy IAM consentono o negano l'accesso ai servizi AWS o alle operazioni API che funzionano con IAM. Una policy IAM può essere applicata solo alle identità IAM (utenti, gruppi o ruoli). Le policy IAM non possono limitare l'utente root dell'account AWS.

Per ulteriori informazioni, consulta Esempi di policy basate su identità IAM.

Per ulteriori informazioni su come utilizzare IAM per proteggere l'accesso alla tua organizzazione, consulta AWS Identity and Access Management e AWS Organizations.


Informazioni correlate

Tutorial: creazione e configurazione di un'organizzazione

AWS Organizations Concetti e terminologia

AWS UFFICIALE
AWS UFFICIALEAggiornata 2 anni fa