こんにちは、おりです。
現在AWS SAA合格に向けて問題演習に取り組んでおります。
権限の問題のところでこういった文章がでてきました。

SCPは、組織に属しているOUまたはAWSアカウントに対して、AWSサービスへのアクセス権限や利用可能なリソースを制限できる機能です。AWSリソースへアクセス権限を付与する機能ではないです。

私の中で何となく理解していますがしっかりと内容把握したいので記事にまとめてみます。

サービスとリソースの違い

そもそも前提としてサービスとリソースの違いを理解していないとわからないのでサービスとは？リソースとは？というところからふれていきましょう。

サービス

AWSが提供する機能やツールのことです。具体例を挙げるとこれらが該当します。
・Amazon S3（ストレージサービス）
・Amazon EC2（コンピューティングサービス）
・Amazon RDS（データベースサービス）

ユーザーがリソースを作成、管理、操作するためのインターフェースやAPIを提供する役割があります。

リソース

上記のようなサービスによって作成・管理される具体的なオブジェクトやエンティティのことです。上記の具体例に沿ってあげるとこれらが該当します。
・Amazon S3バケット
・Amazon EC2インスタンス
・Amazon RDSデータベースインスタンス

サービスを通じて操作される対象物で、特定のサービスの機能を実際に利用するためのものです。

SCPについて

もう一度文章を見てみましょう。

SCPは、組織に属しているOUまたはAWSアカウントに対して、AWSサービスへのアクセス権限や利用可能なリソースを制限できる機能です。AWSリソースへアクセス権限を付与する機能ではないです。

まとめるとSCPは
・AWSサービスへのアクセス権限や利用可能なリソースを制限できる
・AWSリソースへアクセス権限を付与する機能ではない
ということになります。

はい、まだよくわかりませんよね。もう少しSCPについて詳細にふれていきます。

SCPとは？

SCPとは、サービスコントロールポリシーの略です。AWS Organizationsで使用されるポリシーの一種になります。SCPは、組織やその一部であるOU（Organizational Unit）や特定のAWSアカウントに対して、どのAWSサービスやアクションが利用可能かを制限するためのものです。

つまり・・・？

SCPは、主にサービスへのアクセスを制限するものです。
「どのサービスやアクションを使用できるか」を制御します。つまり、特定のサービス全体やそのサービス内の特定の操作を禁止することができます。

SCP自体は直接リソースを制限するものではありませんが、SCPを通じてサービスやアクションを制限することにより、間接的にリソースへのアクセスが制限されることがあります。例えば、SCPでAmazon S3の全アクションを禁止すれば、結果としてS3バケットやその中のオブジェクト（リソース）への操作がすべて禁止されます。

まとめ

SCPは主にAWSサービスやそのサービス内のアクションを制限します。
リソースの制限は間接的で、SCPがサービスやアクションを制限することで、結果としてリソースへのアクセスも制限されます。

記事にすることでしっかりと内容が理解できました。間違いなどありましたらコメントいただければと思います。それでは