Quelle est la différence entre une politique de contrôle des services AWS Organizations et une politique IAM ?

Date de la dernière mise à jour : 21/02/2022

Les SCP AWS Organizations ne remplacent pas l'association de politiques IAM au sein d'un compte AWS.

Vous pouvez utiliser les SCP pour autoriser ou rejeter l'accès aux services AWS pour des comptes AWS individuels avec des comptes membres AWS Organizations, ou pour des groupes de comptes au sein d'une unité organisationnelle (UO). Les actions spécifiées à partir d'une SCP attachée affectent toutes les identités IAM, y compris l'utilisateur racine du compte membre.

Les services AWS qui ne sont pas explicitement autorisés par les SCP associées à un compte AWS ou ses UO parentes n'ont pas accès aux comptes AWS ou aux UO associées à la SCP. L'ensemble des comptes AWS d'une UO héritent des SCP associées à cette UO.

Pour plus d'informations, consultez Exemples de politiques de contrôle des services.

Les politiques IAM autorisent ou rejettent l'accès aux services AWS ou aux actions API qui fonctionnent avec IAM. Une stratégie IAM ne peut être appliquée qu'aux identités IAM (utilisateurs, groupes ou rôles). Les politiques IAM ne peuvent pas restreindre l'utilisateur racine du compte AWS.

Pour plus d'informations, consultez Exemples de politiques IAM basées sur l'identité.

Pour plus d'informations sur la façon dont vous pouvez utiliser IAM pour sécuriser l'accès à votre organisation, consultez AWS Identity and Access Management et AWS Organizations.