发布于: May 4, 2021

AWS Identity and Access Management (IAM) 现支持策略条件,以帮助您管理访问您资源的 AWS 服务的权限。 许多 AWS 服务都需要访问您的内部资源才能执行任务,并且它们通常使用自己的服务身份(称为服务主体)来实现此目的。凭借新的服务主体条件,您可以很轻松地编写规则,以对所有的服务主体执行一个规则,或者将服务主体排除在某些只适用于您自己身份的权限规则之外。

例如,要使用 AWS Cloudtrail 将日志记录数据发送到您的 S3 存储桶,您需要授权 CloudTrail 的服务主体,以访问您所控制的目标存储桶。假设您想要求任何访问 S3 存储桶的人员必须使用 AWS PrivateLink,但仍允许 AWS CloudTrail 服务主体发送数据。现在,您可以轻松地编写 S3 存储桶策略以拒绝访问,除非该请求使用您的 PrivateLink 终端节点,或者发出请求的主体是 AWS 服务主体。

全新的 IAM 策略条件为 aws:PrincipalIsAWSServiceaws:PrincipalServiceNameaws:PrincipalServiceNamesList。您可以免费在 IAM 策略中开始使用这些新条件。有关更多信息,请访问 AWS Global Condition Keys 上的文档。