🎯 1. Bạn đang control ở level nào?
🔹 A. Level Account / Organization
Keyword:
- “limit account”
- “restrict services”
👉 Dùng: AWS Organizations + SCP
🔹 B. Level User / Role
👉 Dùng: IAM Policy
🔹 C. Cross-account
👉 Check tiếp 👇
🔍 2. Service có Resource Policy không?
✅ Có → dùng Resource Policy
Ưu điểm:
- Không cần STS
- Đơn giản
- Nhanh
❌ Không → dùng STS
Pattern: Account A → AssumeRole → Account B
🔐 3. Có phải SSO không?
👉 Dùng: IAM Identity Center
🏢 4. Có dùng AD không?
👉 Dùng: Microsoft AD / Federation
⚡ Cheat Sheet
| Keyword | Đáp án |
|---|---|
| limit account | SCP |
| cross-account đơn giản | Resource Policy |
| cross-account phức tạp | STS |
| SSO | IAM Identity Center |
| user permission | IAM |
🧠 Mental Model
Organization (SCP)
→ IAM
→ STS
→ Resource Policy
💣 Bẫy thường gặp
- “efficiently” → Resource Policy
- “entire account” → SCP
- “centralized access” → IAM Identity Center
🚀 Kết luận
- 🧱 Account-level → SCP
- 🔁 Cross-account → Resource Policy trước
- 🔑 Login → IAM Identity Center
👉 Hiểu pattern = pass IAM trong SAP