服务控制策略与 IAM 策略有何区别?如何配合使用?

AWS Organizations 不会将关联的 IAM 策略替换为 AWS 账户中的用户、组和角色。

借助 IAM 策略,您可以允许或拒绝对 AWS 服务 (如 Amazon S3)、单一 AWS 资源 (如特定的 S3 存储桶) 或单一 API 操作 (如 s3:CreateBucket) 的访问。IAM 策略只能应用于 IAM 用户、组或角色,不能限制 AWS 账户的根身份。

相比之下,AWS Organizations 让您能够使用服务控制策略 (SCP) 允许或拒绝对单一 AWS 账户的特定 AWS 服务或组织单位 (OU) 中账户组的访问。附加 SCP 的指定操作影响账户的所有 IAM 用户、组和角色,包括根账户身份。

向 OU 或单一 AWS 账户应用 SCP 时,可以选择 enable (白名单) 或 disable (黑名单) 指定的 AWS 服务。如果某个账户、其父 OU 或主账户关联的 SCP 未显式允许对某项服务进行访问,则对关联该 SCP 的 AWS 账户或 OU 的此项服务的访问会遭到拒绝

向 OU 应用 SCP 后,OU 中的所有 AWS 账户都将继承此 SCP。

为说明 SCP 和 IAM 策略交互的方式,假设您的组织中有一组如下所述的 AWS 账户:

orgsiamchart1

组织 SCP 为每个组 whitelisted (允许) 的服务以橙色圈出,允许访问特定服务的 IAM 策略以灰色圈出。

IAM 用户 Bob 是 Dev OU 的一员,关联至 Bob 的 IAM 策略允许对 Amazon S3 和 Amazon EC2 服务进行完全访问。由于 Dev OU 关联的 SCP 允许使用 S3 服务,而 Bob 拥有允许其对 S3 进行完全访问的 IAM 策略,因而 Bob 可以使用 S3。虽然 IAM 策略也授予 Bob 对 EC2 进行管理员访问的权限,但 SCP 只允许其使用 S3,因此 Bob 不能使用 EC2。

对于 IAM 用户 David,虽然 S3 服务被加入到了 Sales OU 中用户、组和角色的白名单中 (通过 SCP),但 David 的 IAM 策略不允许访问任何 AWS 服务,因此,在拥有授予服务访问权限的 IAM 策略前,David 将无法访问任何 AWS 服务。

假设有一个类似的账户分组,但在此分组中,IAM 服务被 Dev OU 关联的 SCP 显式 blacklisted (拒绝),所有其他服务则 whitelisted (允许):

orgsiamchart2

“拒绝”的工作方式类似于传统的黑名单,它仅阻止指定的 AWS 服务。也就是说,Dev OU 中的任何身份都不能访问 IAM 服务,但 Bob 仍能够访问 S3,因为 SCP 仅将 IAM 服务加入了黑名单。

Organizations, IAM, SCP


此页面对您有帮助吗? |

返回 AWS Support 知识中心

需要帮助? 请访问 AWS 支持中心

发布时间:2017 年 3 月 1 日