Las Service Control Policies (SCPs) son políticas de seguridad que se aplican a nivel de AWS Organizations, permitiendo a las organizaciones establecer permisos máximos para todas las cuentas miembro. A diferencia de las políticas de IAM (Identity and Access Management), las SCPs no otorgan permisos directamente, sino que actúan como "guardrails" o límites. Definen el conjunto de acciones de AWS que los usuarios y roles de una cuenta pueden realizar, incluso si las políticas de IAM dentro de esa cuenta intentan otorgar permisos más amplios. Pueden ser de tipo 'Deny' (denegar explícitamente acciones) o 'Allow' (permitir explícitamente acciones, denegando todo lo demás por defecto si no hay una política 'Allow' explícita).
La implementación más prominente de las SCPs se encuentra en AWS Organizations. Una organización puede definir SCPs y adjuntarlas a la raíz de la organización, a unidades organizativas (OUs) o a cuentas individuales. Por ejemplo, una SCP podría denegar la creación de recursos en regiones de AWS específicas (ej. "eu-west-3") para todas las cuentas bajo una OU, o prohibir el uso de ciertos tipos de instancias EC2 costosas. Otro caso de uso común es asegurar que todas las cuentas cumplan con estándares de conformidad, como deshabilitar el acceso a servicios que no son compatibles con HIPAA o PCI DSS, incluso si los administradores de cuentas individuales intentan habilitarlos.
Para un Arquitecto de Sistemas Senior, las SCPs son cruciales para implementar una postura de seguridad robusta y centralizada en entornos multi-cuenta. Permiten hacer cumplir políticas de gobernanza y cumplimiento a gran escala, reduciendo el riesgo de configuraciones erróneas o acciones maliciosas a nivel de cuenta. El valor estratégico radica en la capacidad de establecer un "baseline" de seguridad inquebrantable, asegurando que ninguna cuenta pueda exceder los límites de permisos definidos por la organización. Los trade-offs incluyen la complejidad inicial de diseño de las SCPs (especialmente en organizaciones grandes con OUs anidadas) y la necesidad de una gestión cuidadosa para evitar bloqueos accidentales de operaciones legítimas. Es fundamental equilibrar la granularidad de las SCPs con la facilidad de administración y la agilidad operativa de los equipos de desarrollo.