发布于: Dec 15, 2023
今天,AWS Control Tower 发布了登录区版本 3.3,其中包括对 AWS Control Tower 管理的资源、基于资源的策略和控制措施的更新。AWS Control Tower 现在支持新的 AWS Identity and Access Management (IAM) 推出的全球条件键 aws:SourceOrgID,它使您能够以可扩展的方式允许 AWS 服务仅代表您访问您的资源。借助这项新的 IAM 功能,您可以简化对基于资源的策略的管理,从而要求 AWS 服务仅在请求来自您的组织或组织单元 (OU) 时访问您的资源。例如,您可以使用 aws:SourceOrgID 条件键,还可以将该值设为 S3 桶策略条件元素中的组织 ID。这可以确保 CloudTrail 只能代表组织内的账户将日志写入 S3 桶,从而防止组织外部的 CloudTrail 日志写入 S3 桶。登录区版本 3.3 还包括新版本的区域拒绝控制和改进的 KMS 偏差报告。