Я хотел бы создать политику IAM с некоторыми запрещающими действиями и применить политику ко всем существующим и будущим пользователям.
В этих случаях SCP - это способ go. И следуйте правилу, согласно которому все пользователи могут быть созданы только в суб-аккаунте. Для сложных организаций это даже один из подходов - создать отдельную учетную запись только для управления IAM.
Если вы хотите запретить указанные c ресурсы (s3, kms, ..), вы можете применить политику ресурсов, чтобы запретить некоторые действия и запретить обновление политики (кроме пользователя root / выделенного пользователя).
Организация SCP, но, похоже, она не работает с основной учетной записью
Действительно.
Если вы действительно хотите обеспечить, чтобы все пользователи входили в указанную c группу (независимо от учетной записи root или нет), вы можете создать правило AWS Config для проверки членства пользователей и добавить пользователь в группе, если пользователь не соответствует правилу.
Или, возможно, наличие журнала CloudTrail с правилом, согласно которому при создании / обновлении пользователя проверяйте и назначайте группу. Тогда вам нужно защитить настройки AWS Config или CloudTrail