Introducción IAM: usuarios, grupos y políticas

Dejo este diagrama que hice para entender los conceptos de usuarios, grupos y políticas. Pero me surge una duda, en caso de que un usuario pertenezca a dos grupos con políticas diferentes para un recurso ¿al usuario se le aplicará la política de mayor o menor privilegio?

IAM es un servicio para la gestión de acceso de identidad.
Los conceptos básicos:

• Root account. Es la cuenta que se crea de manea predeterminada.

• Usuarios. Son personas que tienen acceso a servicios de la organización, se pueden agrupar y no tienen que pertenecer solo a un grupo.

• Grupos. Solo contienen usuarios y no otros grupos.

• Políticas. A los usuarios o grupos de les puede asignar políticas como documentos JSON. Estas políticas definen los permisos de los usuarios o grupos para cualquiera de los servicios dentro de AWS y para definirlas de aplica el principio de privilegios mínimos, es decir, no otorgar más privilegios de los que un usuario necesita.

Información resumida de esta clase
#EstudiantesDePlatzi

• IAM es el servicio que nos permite la gestión de accesos e identidad dentro de AWS

• La cuenta root no debe usarse ni compartirse

• Los usuarios son personas dentro de la organización y se pueden agrupar

• Los grupos no pueden estar dentro de otros grupos

• Las políticas son las que dan el acceso a los usuarios a los servicios de AWS

• No otorgar más permisos de los que necesita un usuario

IAM: Gestion de accesos y permisos en AWS

Usuarios: Personas reales dentro de la compañia.
Grupos: Departamentos de trabajo. Ejemplo: Desarrollo, Operaciones, Auditoria
Política: acceso a servicios de AWS