发布于: May 17, 2018
借助 IAM 委托人(用户和角色)的 AWS Organization,AWS Identity and Access Management (IAM) 让您可以更轻松地控制您的 AWS 资源的访问权限。您可以在权限策略中使用新的条件键“aws:PrincipalOrgID”,来要求所有访问您资源的 IAM 委托人(用户和角色)均来自您组织中的同一账户。
例如,如果您想限制与您组织内的 AWS 账户关联的委托人的访问权限,不妨考虑使用 Amazon S3 存储桶策略。现在,您可以使用条件“aws:PrincipalOrgID”,并可将该值设为您策略的条件元素中的组织 ID。
要了解有关新条件键“aws:PrincipalOrgID”的更多信息,您可以访问 IAM 文档。