¿Cuál es la diferencia entre una política de control de servicio de AWS Organizations y una política de IAM?
2 minutos de lectura
0
¿Cuál es la diferencia entre una política de control de servicio (SCP) de AWS Organizations y una política de AWS Identity and Access Management (IAM)? ¿Cómo puedo usarlas juntas?
Solución
SCP de AWS Organizations
Las SCP de AWS Organizations no sustituyen a las políticas de IAM de asociación dentro de una cuenta de AWS.
Puede utilizar SCP para conceder o denegar el acceso a servicios de AWS para cuentas de AWS individuales con cuentas miembro de AWS Organizations o para grupos de cuentas dentro de una unidad organizativa (OU). Las acciones especificadas a partir de una SCP asociada afectan a todas las entidades de IAM, incluido el usuario raíz de la cuenta miembro.
A los servicios de AWS que no estén permitidos explícitamente por las SCP asociadas a una cuenta de AWS o sus OU principales se les deniega el acceso a las cuentas de AWS o a las OU asociadas a la SCP. Todas las cuentas de AWS de una OU heredan las SCP asociadas a esa OU.