AWS Organizations를 사용하면 여러 AWS 계정을 통합하여 중앙에서 관리할 수 있다.
*헷갈리면 안된다. 사용자의 경우 한 개의 계정에서 만들어진 여러개의 사용자들이다. 계정을 여러개로 묶은 것은 OU이다. 따라서 사용자→계정→OU 이렇게 상위 개념으로 나아간다고 보면 된다.
결국 IAM의 Group, 사용자 보다 Organizations 계정, OU가 상위 개념인 것이다.
IAM은 팀이고 Organizations은 팀이 모인 전체 회사 이렇게 생각하면 좋을 것 같다.
질문: 그렇다면 만약에 Organizations에서는 허용된 S3 접근 권한이 IAM에서는 명시적 거부했을 경우에는 어떻게 되는 것인가? 충돌하는거 아닌가? 누굴 먼저 할 것인가?
질문: 그렇다면 만약에 SCP가 지정한 것 이외의 권한을 IAM에서는 명시적으로 승인할 수 있는지?
또한, IAM에서는 그럼 SCP가 지정한 권한내의 서비스들에게도 암묵적 거부를 기조로하고 있는지?
SCP는 계정에 대한 중앙 집중식 제어를 제공
SCP는 통합결제기능까지 모든 권한이 열려있는 조직에서만 사용할 수 있다.
IAM의 권한 정책과 유사하다. 그러나 권한을 부여하지는 않고 조직의 최대 권한을 지정한다.
SCP는 약간 보호장치로써 여기까지는 가능~하고 유연하게 열어둔 것이라고 보면된다. 명확히 권한을 지정하려면 역시 IAM을 써서 해야한다. SCP는 약간 보조 장치이고 IAM이 결국 최종이다.
암호화 키를 생성하고 관리할 수 있는 서비스