AWS Organizations のサービスコントロールポリシーと IAM ポリシーの違いは何ですか?

最終更新日: 2020 年 8 月 13 日

AWS Organizations のサービスコントロールポリシー (SCP) と AWS Identity and Access Management (IAM) ポリシーの違いは何ですか? また、それらを一緒に使用するにはどうすればよいですか?  

解決方法

AWS Organizations の SCP は、AWS アカウント内で関連付けられている IAM ポリシーを置き換えるものではありません。

IAM ポリシーは、IAM と連携する AWS のサービスまたは API アクションへのアクセスを許可または拒否します。IAM ポリシーは、IAM ID(ユーザー、グループ、ロール)にのみ適用できます。IAM ポリシーでは、AWS アカウントのルートユーザーを制限することはできません。

SCP を使用すると、AWS Organizations のメンバーアカウントを持つ個々の AWS アカウント、または組織単位 (OU) 内のアカウントのグループに対して AWS のサービスへのアクセスを許可または拒否できます。添付された SCP から指定されたアクションは、メンバーアカウントの ルートユーザーを含むすべての IAM ID に影響します。

AWS アカウントまたはその親 OU に関連付けられている SCP が明示的に許可していない AWS のサービスは、SCP に関連付けられている AWS アカウントまたは OU へのアクセスを拒否します。 OU に関連付けられた SCP は、その OU 内のすべての AWS アカウントに継承されます。詳細については、How SCPs work をご参照ください。

IAM を使用して組織へのアクセスを保護する方法の詳細については、AWS Identity and Access Management in AWS Organizations をご参照ください。


この記事はお役に立ちましたか?


請求に関するサポートまたは技術的なサポートが必要ですか?