AWS Organizations 服务控制策略与 IAM 策略之间有何区别?
1 分钟阅读
0
AWS Organizations 服务控制策略 (SCP) 与 AWS Identity and Access Management (IAM) 策略之间有何区别? 我该如何将它们结合使用?
解决方法
AWS Organizations SCP
AWS Organizations SCP 不会替换 AWS 账户中的关联 IAM 策略。
您可以使用 SCP 允许或拒绝拥有 AWS Organizations 成员账户的单一 AWS 账户或组织单位 (OU) 内的账户组对 AWS 服务进行访问。来自附加 SCP 的指定操作会影响所有 IAM 身份,包括成员账户的根用户。
如果某个 AWS 账户或其父级 OU 关联的 SCP 未显式允许对 AWS 服务进行访问,则关联该 SCP 的 AWS 账户或 OU 对这些服务的访问会遭到拒绝。与 OU 关联的 SCP 由该 OU 中的所有 AWS 账户沿用。
有关更多信息,请参阅服务控制策略示例。
IAM 策略
IAM 策略可允许或拒绝访问与 IAM 结合使用的 AWS 服务或 API 操作。IAM 策略只能应用于 IAM 身份(用户、组或角色)。IAM 策略不能限制 AWS 账户根用户。
有关更多信息,请参阅基于身份的 IAM 策略示例。
有关如何使用 IAM 保护对组织的访问的更多信息,请参阅 AWS Identity and Access Management 和 AWS Organizations。
相关信息
AWS 官方已更新 2 年前
没有评论
相关内容
- AWS 官方已更新 2 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 3 年前
- AWS 官方已更新 2 年前
