发布于: Nov 16, 2023
今天,AWS Identity and Access Management (IAM) 为 IAM 策略推出了两个新的全局条件键,使您能够可扩展地允许 AWS 服务仅代表您访问您的资源。借助这项新的 IAM 功能,您可以简化对基于资源的策略的管理,从而要求 AWS 服务仅在请求来自您在 AWS Organizations 中的组织或组织单元 (OU) 时访问您的资源。
这一新功能包括名为 aws:SourceOrgID 和 aws:SourceOrgPaths 的 IAM policy 语言的条件键。这些键扩展了现有 aws:SourceAccount 和 aws:SourceArn 条件键的功能,可以引用您的组织或 OU。各种服务和操作都支持这些新键,因此您可以在不同的使用案例中应用类似的控制。例如,AWS CloudTrail 记录账户活动并将这些事件记录到 Amazon Simple Storage Service (S3) 桶中。现在,您可以使用 aws:SourceOrgID 条件键,还可以将该值设为 S3 桶策略条件元素中的组织 ID。这可以确保 CloudTrail 只能代表组织内的账户将日志写入 S3 桶,从而防止组织外部的 CloudTrail 日志写入 S3 桶。
有关新条件键的更多信息,请参阅我们的博客文章“Use scalable controls for AWS services accessing your resources”(对访问您的资源的 AWS 服务使用可扩展控制)和 IAM 文档。