Quelle est la différence entre une stratégie de contrôle de service AWS Organizations et une politique IAM ?

Dernière mise à jour : 22/09/2021

Quelle est la différence entre une stratégie de contrôle de service (SCP) AWS Organizations et une politique AWS Identity and Access Management (IAM), et comment les utiliser ensemble ?

Résolution

Les stratégies de contrôle de service AWS Organizations ne remplacent pas l'association de stratégies IAM au sein d'un compte AWS.

Les stratégies IAM autorisent ou refusent l'accès aux services AWS ou aux actions API qui fonctionnent avec IAM. Une stratégie IAM ne peut être appliquée qu'aux identités IAM (utilisateurs, groupes ou rôles). Les politiques IAM ne peuvent pas restreindre l'utilisateur racine du compte AWS.

Vous pouvez utiliser les SCP pour autoriser ou refuser l'accès aux services AWS pour des comptes AWS individuels avec des comptes membres AWS Organizations, ou pour des groupes de comptes au sein d'une unité organisationnelle (OU). Les actions spécifiées à partir d'une SCP attachée affectent toutes les identités IAM, y compris l'utilisateur racine du compte membre.

Les services AWS qui ne sont pas explicitement autorisés par les SCP associées à un compte AWS ou ses UO parentes n'ont pas accès aux comptes AWS ou aux UO associées à la SCP. L'ensemble des comptes AWS d'une OU héritent des SCP associées à cette OU.

Pour plus d'informations sur la façon dont vous pouvez utiliser IAM pour sécuriser l'accès à votre organisation, consultez AWS Identity and Access Management et AWS Organizations.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?