Quelle est la différence entre une stratégie de contrôle de service AWS Organizations et une stratégie IAM ?

Dernière mise à jour : 13/08/2020

Quelle est la différence entre une stratégie de contrôle de service AWS Organizations et une stratégie AWS Identity and Access Management (IAM), et comment les utiliser ensemble ?  

Résolution

Les stratégies de contrôle de service AWS Organizations ne remplacent pas l'association de stratégies IAM au sein d'un compte AWS.

Les stratégies IAM autorisent ou refusent l'accès aux services AWS ou aux actions API qui fonctionnent avec IAM. Une stratégie IAM ne peut être appliquée qu'aux identités IAM (utilisateurs, groupes ou rôles). Les stratégies IAM ne peuvent pas restreindre l'utilisateur racine du compte AWS.

Vous pouvez utiliser les SCP pour autoriser ou refuser l'accès aux services AWS pour des comptes AWS individuels avec des comptes membres AWS Organizations, ou pour des groupes de comptes au sein d'uneunité organisationnelle. Les actions spécifiées à partir d'une stratégie de contrôle de service jointe affectent toutes les identités IAM, y compris lutilisateur racine du compte membre.

Les services AWS qui ne sont pas explicitement autorisés par les stratégies de contrôle de service associées à un compte AWS ou ses UO parents se voient refuser l'accès aux comptes AWS ou aux UO associées à la stratégie de contrôle de service. Les stratégies de contrôle de service associées à une unité d'organisation sont hérités par tous les comptes AWS de cette unité d'organisation. Pour plus d'informations, consultez Fonctionnement des stratégies de contrôle de service.

Pour plus d'informations sur la façon dont vous pouvez utiliser IAM pour sécuriser l'accès à votre organisation, consultez AWS Identity and Access Management dans AWS Organizations.


Cette page vous a-t-elle été utile ?


Besoin d'aide pour une question technique ou de facturation ?