プログラミング勉強日記
2021年4月24日
昨日の記事ではAWS Organaizationsについて説明している。
SCPとは
Service Control Policyの頭文字をとったもので、複数のAWSアカウントに対する権限の制御ができる。AWSアカウントまたは組織単位(OU)内のアカウントのグループに対してAWSサービスへの権限境界を設定できる。
SCP自体は権限を与えるものではなく、「ここまでは許可できる」という境界を設定するもの。なので、AWSアカウントまたはOUに関連付けられているSCPが許可していないAWSサービスは、SCPに関連付けられているAWSアカウントまたはOUへのアクセスを拒否する。
IAMとの違い
SCPはIAMの境界設定と似ているが、IAMはAWSアカウント内のユーザを管理する。Organizationsは複数のAWSアカウント自体を管理する。
SCPは組織単位でざっくりとした権限を明確に設定する。SCPを設定した組織の方では、許可・拒否された範囲においてIAMの方で個別に許可権限を与える。個別の設定はIAMで行う。
