IAM服务与Organizations服务权限访问控制的区别

一、作用对象的不同，IAM可以对账号下的IAM用户、IAM用户组、IAM委托进行授权。组织服务则是对根组织单元、组织单元和成员账号进行权限控制。

二、权限控制范围有所区别且有所关联，如果账号已经加入Organizations服务成为成员账号，组织管理员将SCP绑定到组织单元或者成员账号时，则账号下的IAM用户、用户组、委托均会受到SCP和IAM策略的权限控制影响。IAM策略授予权限的有效性受SCP限制，只有在SCP允许范围内的权限才能生效。SCP禁止的权限操作，即便授予IAM用户权限，用户也不能执行相关操作。

三、作用效果不同。SCP是指定了组织中成员账号的权限边界，限制账号内用户的操作。IAM策略则是直接对IAM用户、IAM用户组、IAM委托进行授权。