使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款

AWS Organizations 服務控制政策和 IAM 政策有什麼區別?

1 分的閱讀內容
0

AWS Organizations 服務控制政策 (SCP) 和 AWS Identity and Access Management (IAM) 政策有何不同? 我怎樣才能一起使用它們?

解決方法

AWS Organizations SCP

AWS Organizations SCP 不會取代 AWS 帳戶內關聯的 IAM 政策。

您可以使用 SCP 針對具有 AWS 組織成員帳戶的個別 AWS 帳戶或組織單位 (OU) 內的帳戶群組允許或拒絕存取 AWS 服務。來自附加 SCP 的指定動作會影響所有 IAM 身分,包括成員帳戶的根使用者

與 AWS 帳戶相關聯的 SCP 或其父系 OU 未明確允許的 AWS 服務,則會拒絕存取與 SCP 關聯的 AWS 帳戶或 OU。與 OU 相關聯的 SCP 會由該 OU 中的所有 AWS 帳戶繼承。

如需詳細資訊,請參閱服務控制政策範例

IAM 政策

IAM 政策允許或拒絕存取與 IAM 搭配使用的 AWS 服務或 API 動作。IAM 政策只能套用至 IAM 身分 (使用者、群組或角色) 。IAM 政策無法限制 AWS 帳戶根使用者

如需詳細資訊,請參閱 IAM 身分型政策範例

有關如何使用 IAM 保護組織存取的詳細資訊,請參閱 AWS Identity and Access Management 和 AWS Organizations


相關資訊

教學: 建立和配置組織

AWS Organizations 術語和概念

AWS 官方
AWS 官方已更新 3 年前