Qual è la differenza tra un criterio di controllo dei servizi AWS Organizations e un criterio IAM?
2 minuti di lettura
0
Qual è la differenza tra un criterio di controllo dei servizi (SCP) di AWS Organizations e un criterio di Identity and Access Management (IAM) di AWS? Come posso utilizzarle insieme?
Risoluzione
SCP di AWS Organizations
Le SCP di AWS Organizations non sostituiscono l'associazione delle policy IAM all'interno di un account AWS.
Puoi utilizzare le SCP per consentire o negare l'accesso ai servizi AWS per singoli account AWS con account membri di AWS Organizations o per gruppi di account all'interno di un'unità organizzativa (UO). Le operazioni specificate da una SCP collegata influiscono su tutte le identità IAM, incluso l'utente root dell'account membro.
I servizi AWS che non sono esplicitamente consentiti dagli SCP associati a un account AWS o alle sue UO principali non possono accedere agli account AWS o alle UO associate all'SCP. Gli SCP associati a una OU sono ereditati da tutti gli account AWS di quella UO.