Qual é a diferença entre uma política de controle de serviços do AWS Organizations e uma política do IAM?
Qual é a diferença entre uma política de controle de serviços (SCPs) do AWS Organizations e uma política do AWS Identity and Access Management (IAM)? Como posso usá-los juntos?
Resolução
SCPS do AWS Organizations
Os SCPs do AWS Organizations não substituem a associação de políticas do IAM em uma conta da AWS.
Você pode usar SCPs para permitir ou negar acesso aos serviços da AWS para contas individuais da AWS com contas de membros do AWS Organizations ou para grupos de contas em uma unidade organizacional (OU). As ações especificadas de um SCP anexado afetam todas as identidades do IAM, incluindo o usuário raiz da conta do membro.
Os serviços da AWS que não são explicitamente permitidos pelos SCPs associados a uma conta da AWS ou suas OUs principais têm acesso negado às contas da AWS ou OUs associadas ao SCP. Os SCPs associados a uma OU são herdados por todas as contas da AWS nessa OU.
Para obter mais informações, consulte Exemplos de políticas de controle de serviços.
Políticas do IAM
As políticas do IAM permitem ou negam o acesso aos serviços da AWS ou às ações de API que funcionam com o IAM. Uma política do IAM pode ser aplicada somente às identidades do IAM (usuários, grupos ou perfis). As políticas do IAM não podem restringir o usuário raiz da conta da AWS.
Para obter mais informações, consulte Exemplo de políticas baseadas em identidade do IAM.
Para obter mais informações sobre como você pode usar o IAM para proteger o acesso à sua organização, consulte AWS Identity and Access Management e AWS Organizations.
Informações relacionadas
Conteúdo relevante
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 anos