发布于: Apr 27, 2022
今天,AWS Identity and Access Management (IAM) 推出一种新方法,您可以根据包含资源的 AWS Organizations 中的账户、组织单元 (OU) 或组织来控制对资源的访问。AWS 建议您在工作负载增长时设置多个账户。使用多账户环境有几个好处,包括通过隔离具有特定安全需求的工作负载或应用程序来实现灵活的安全控制。有了这个新的 IAM 功能,您现在可以编写 IAM 策略,使您的主体只能够访问特定 AWS 账户、OU 或组织内的资源。
新功能包括 IAM 策略语言 aws:ResourceAccount、aws:ResourceOrgPaths 和 aws:ResourceOrgID 的条件密钥。新的密钥支持多种 AWS 服务和操作,因此您可以在不同的使用案例中应用类似的控件。例如,您现在可以轻松防止您的 IAM 主体在自身 AWS 账户之外担任任何 IAM 角色,而无需在您的策略中列出任何特定的 IAM 角色。要实现这一点,请配置 IAM 策略以拒绝对 AWS Security Token Service (AWS STS) 的访问执行角色操作,除非 aws:ResourceAccount 与您的唯一 AWS 账户 ID 匹配。有了该策略后,当向策略中未列出的账户发出 AWS STS 请求时,默认情况下会阻止该访问。您可以将此策略附加到 IAM 主体,以将此规则应用于单个角色或用户,或者在 AWS Organizations 中使用服务控制策略,在您的 AWS 账户中广泛应用此规则。
有关新条件密钥的更多信息,请参阅 IAM文档。