管理組織單位 (OU) : 可以使用組織單位 (OU) 將帳戶群組在一起,以單一單位的形式進行管理。這可大幅簡化帳戶的管理,可以將以政策為基礎的控制連接到 OU,而 OU 內的所有帳戶會自動繼承政策。您可以在單一組織內建立多個 OU,您也可以在其他 OU 內建立 OU。每個 OU 可以包含多個帳戶,而且您可以在 OU 之間移動帳戶。但是,OU 的名稱在父系 OU 或根中必須是唯一的。
服務控制政策 (SCP) : 服務控制政策 (SCP) 是一種組織政策類型,可用來管理組織中的許可。SCP 可集中控制組織中所有帳戶可用的許可上限。SCP 可協助您確保您的帳戶符合組織的存取控制指導方針。SCP 只有在啟用所有功能的組織中才能使用。
SCP 很重要的規則:
1. SCP 是定義權限的範圍並不是賦予權限
2. SCP 預設都是 Deny 的權限,除非明確 Allow 相關的權限
3. Deny 的權限高於 Allow 權限,並且 Deny 權限預設繼承到每一個 OU 和帳號上
Deny list strategy:
- SCP 預設都是 Deny 的權限,所以在完全沒有附加任何的 SCP 時,在 root 和 OU上所有的權限都是Deny。
- 當我們採取反向列表的方式來拒絕部分的權限時,預設都會在 root 和每一個 OU上都自動附加FullAWSAccess。
- 因為 Deny 的權限高於 Allow 權限並且 OU 也會預設繼承 Deny 的權限,所以該 OU 的範圍內將只剩下預設 Deny 的權限和 DisableOrg,雖然有繼承 FullAWSAccess,但因為 OU 上明確的 Deny 權限將完全取代繼承下來的 FullAWSAccess。
