Amazon web services 如何为AWS IAM中的所有现有用户和新用户添加IAM策略？

我有一个AWS帐户，其中包含我所有的东西，并希望它的安全

我想创建一个包含一些拒绝操作的IAM策略，并将该策略应用于所有现有和未来用户。我该怎么做

我尝试使用IAM组，但有人可以创建没有特定组的用户。此外，我尝试了组织SCP，但它似乎与主帐户不起作用

我想创建一个包含一些拒绝操作的IAM策略，并将该策略应用于所有现有和未来用户

在这些情况下，SCP是一条出路。并遵循一条规则，即所有用户只能在子帐户中创建。对于复杂的组织来说，创建一个单独的账户仅用于IAM管理甚至是一种方法

如果要拒绝特定资源s3、kms，。。您可以应用资源策略来拒绝某些操作，并拒绝更新除root/专用用户之外的策略

组织SCP，但它似乎与主帐户不起作用

的确如此

如果确实希望强制所有用户都在特定组中，而不管是否为根帐户，则可以创建AWS配置规则来检查用户成员资格，并在用户不符合该规则时向组中添加用户

或者可能有一个CloudTrail日志，其中包含一条规则，即在创建/更新用户时，检查并分配组。然后必须保护AWS配置或CloudTrail设置