AWS Organizations のサービスコントロールポリシー (SCP) と AWS Identity and Access Management (IAM) ポリシーの違いは何ですか? それらを一緒に使うにはどうすればいいですか?
AWS Organizations の SCP は、AWS アカウント内で関連付けられている IAM ポリシーを置き換えるものではありません。
SCP を使用すると、AWS Organizations のメンバーアカウントを持つ個々の AWS アカウント、または組織単位 (OU) 内のアカウントのグループに対して AWS のサービスへのアクセスを許可または拒否できます。アタッチされた SCP から指定されたアクションは、メンバーアカウントのルートユーザーを含むすべての IAM アイデンティティに影響します。
AWS アカウントまたはその親 OU に関連付けられている SCP が明示的に許可していない AWS のサービスは、SCP に関連付けられている AWS アカウントまたは OU へのアクセスを拒否します。OU に関連付けられた SCP は、その OU 内のすべての AWS アカウントに継承されます。
詳細については、「サービスコントロールポリシー の例」を参照してください。
IAM ポリシーは、IAM と連携する AWS のサービスまたは API アクションへのアクセスを許可または拒否します。IAM ポリシーは、IAM ID(ユーザー、グループ、ロール)にのみ適用できます。IAM ポリシーでは、AWS アカウントのルートユーザーを制限することはできません。
詳細については、「IAM アイデンティティベースのポリシーの例」を参照してください。
IAM を使用して組織へのアクセスを保護する方法の詳細については、AWS Identity and Access Management and AWS Organizations を参照してください。
Tutorial: Creating and configuring an organization
AWS Organizations terminology and concepts