AWSのアカウント

AWSのアカウントにはルートユーザーとIAMユーザーの２種類がある。
ルートユーザーは全サービスに対してアクセス可能な強力なユーザーなので、権限を限定したIAMユーザーで運用することが必須級。

AWS Organizations

AWSの利用は複数アカウントで運用することが非常に増えてきている。
複数のアカウントをグループ化して管理を一元的に行うサービス。
それぞれのアカウント単位で権限を制限できる。（例えばAアカウントはEC2とかS3とかを作成・変更する権限を持っているが、Bアカウントは参照しかできないなど）

合わせて、請求を一元管理することが可能となる。

IAM

IAMはAWSリソースへのアクセスを制御するサービス。

IAMを使った権限付与の流れ

1. AWSサービスやAWSリソースに対する操作権限をIAMポリシーとして定義する。

2. IAMポリシーをIAMユーザーやIAMグループ、IAMロールにアタッチする。

3. IAMユーザーまたはIAMグループに属するIAMユーザーとしてマネジメントコンソールにログインすると、付与された権限の操作を行うことができる。

IAMポリシー

IAMポリシーはAction（どのサービスの）、Resource（どういう機能や範囲を）、Effect（許可／拒否）という３つの大きなルールに基づいて様々な権限設定を行う。