SAAの試験勉強で間違えた問題がSCPについての問題だったので少しまとめました。
SCPとは
SCP(サービスコントロールポリシー)は、AWS Organizationsにおける組織のアクセス制御に関する設定のことです。
一人のIAMユーザーがある組織に属していたとした場合で考えてみます。
そのIAMユーザーにはIAMポリシーとして「EC2」「RDS」「S3」へのフルアクセス権限が振られていたとします。
しかし、このIAMユーザーの所属する組織のSCPでは「EC2」「ECS」「CloudWatch」のフルアクセス権限が振られています。
この場合どうなるかというと、「EC2」へのフルアクセスのみ可能になります。
ベン図にするとわかりやすいです。
このような形で権限の制御は行われるので、アクセス制御の設計を行う際は気をつけねば。。