Recomenda-se definir Políticas no nível da Organização e aplicá-las usando Service Control Policies, que são políticas do IAM que limitam as permissões concedidas (Guardrails).
Pense em tudo o que você não quer que aconteça em suas contas e force a conformidade por meio de SCPs.
O AWS Organizations Service e suas Service Control Policies são de uso gratuito.