发布于: Nov 20, 2019
现在,您可以在 AWS Identity and Access Management (IAM) 策略中引用组织单位 (OU) ,这些组织单位是 AWS Organizations 中的 AWS 账户组,从而可以更轻松地为您的 IAM 主体(用户和角色)定义对您组织中 AWS 资源的访问权限。通过 AWS Organizations,您可以将账户组织到 OU 中,使其与业务目的或安全目的保持一致。
现在,您可以在策略中使用新的条件键 aws:PrincipalOrgPaths,从而基于 OU 中主体的成员资格来允许或拒绝访问。这使您比以往更容易地在您 AWS 环境中拥有的账户之间共享资源。
例如,您可能有一个 Amazon S3 存储桶,您需要与属于特定 OU 成员的账户下的开发人员和应用程序共享。为此,您可以指定 aws:PrincipalOrgPaths 条件,并将该值设置为附加到存储桶的基于资源的策略中调用者的组织单位 ID。当主体尝试访问存储桶时,AWS 会验证其账户的 OU 是否与在策略中指定的 OU 相匹配。在这种情况下,将账户添加到 OU 时会自动应用权限,无需对该策略进行任何其他更新。
要了解有关新条件键 aws:PrincipalOrgPaths 的更多信息,请访问 IAM 文档。