Organizations
AWS Organizations のポリシー機能に関する検証ドキュメントです。
ポリシータイプ
| ポリシータイプ | 制御対象 | 制御方法 | 記事 |
|---|---|---|---|
| SCP(サービスコントロールポリシー) | プリンシパル(IAM ユーザー / ロール) | API コールを拒否 | Control Tower 予防コントロールで検証済み |
| RCP(リソースコントロールポリシー) | リソース | API コールを拒否 | 同上 |
| 宣言型ポリシー | サービスの設定そのもの | サービスのコントロールプレーンで直接強制 | EC2 ポリシー(宣言型)、S3 ポリシー(宣言型) |
SCP / RCP は「この API コールを許可しない」というアプローチであるのに対し、宣言型ポリシーは「この設定を常にこの値にする」というアプローチである。詳細は宣言型ポリシーについてを参照。