AWS Organizations 服务控制策略与 IAM 策略之间有何区别?

上次更新时间:2020 年 8 月 13 日

AWS Organizations 服务控制策略 (SCP) 与 AWS Identity and Access Management (IAM) 策略之间有何区别,我该如何将它们结合使用?  

解决方法

AWS Organizations SCP 不会替换 AWS 账户中的关联 IAM 策略。

IAM 策略可允许或拒绝访问与 IAM 结合使用的 AWS 服务或 API 操作。IAM 策略只能应用于 IAM 身份(用户、组或角色)。IAM 策略不能限制 AWS 账户根用户

您可以使用 SCP 允许或拒绝拥有 AWS Organizations 成员账户的单一 AWS 账户或组织单位 (OU) 内的账户组对 AWS 服务进行访问。来自附加 SCP 的指定操作会影响所有 IAM 身份,包括成员账户的根用户

如果某个 AWS 账户或其父级 OU 关联的 SCP 未显式允许对 AWS 服务进行访问,则关联该 SCP 的 AWS 账户或 OU 对这些服务的访问会遭到拒绝。 与 OU 关联的 SCP 由该 OU 中的所有 AWS 账户沿用。有关更多信息,请参阅 SCP 的工作原理

有关如何使用 IAM 保护对组织的访问的更多信息,请参阅 AWS Organizations 中的 AWS Identity and Access Management


这篇文章对您有帮助吗?


您是否需要账单或技术支持?