SAAの試験勉強で間違えた問題がSCPについての問題だったので少しまとめました。

SCPとは

SCP(サービスコントロールポリシー)は、AWS Organizationsにおける組織のアクセス制御に関する設定のことです。

一人のIAMユーザーがある組織に属していたとした場合で考えてみます。

そのIAMユーザーにはIAMポリシーとして「EC2」「RDS」「S3」へのフルアクセス権限が振られていたとします。

しかし、このIAMユーザーの所属する組織のSCPでは「EC2」「ECS」「CloudWatch」のフルアクセス権限が振られています。

この場合どうなるかというと、「EC2」へのフルアクセスのみ可能になります。

ベン図にするとわかりやすいです。

このような形で権限の制御は行われるので、アクセス制御の設計を行う際は気をつけねば。。