Veröffentlicht am: Nov 20, 2019
Sie können Organisationseinheiten (OUs), AWS-Kontogruppen in AWS Organizations, jetzt in AWS Identity and Access Management(IAM)-Richtlinien referenzieren. Dadurch können Sie leichter festlegen, auf welche AWS-Ressourcen in Ihrer Organisation IAM-Prinzipale (Benutzern und Rollen) Zugriff haben sollen. AWS Organizations ermöglicht Ihnen, Konten nach geschäftlichen oder sicherheitsbezogenen Zwecken in OUs zu organisieren.
Ab sofort können Sie den neuen Bedingungsschlüssel "aws:PrincipalOrgPaths" in Ihre Richtlinien einbinden, um den Zugriff für Prinzipale von der Zugehörigkeit zu einer OU abhängig zu machen. Das macht es noch leichter, Ressourcen zur gemeinsamen Nutzung für Konten in Ihren AWS-Umgebungen freizugeben.
Angenommen, Sie möchten einen Amazon S3-Bucket für Entwickler und Anwendungen aus Konten freigeben, die einer bestimmten OU angehören. Dazu können Sie die Bedingung aws:PrincipalOrgPaths angeben und als Wert in der ressourcenbasierten Richtlinie für den Bucket die Organisationseinheit-ID des Aufrufers einfügen. Wenn ein Prinzipal versucht, auf den Bucket zuzugreifen, prüft AWS, ob die OU des zugehörigen Kontos mit dem Wert in der Richtlinie übereinstimmt. Die Bedingung sorgt dafür, dass Berechtigungen automatisch angewendet werden, wenn Sie Konten zur OU hinzufügen – eine Aktualisierung der Richtlinie ist nicht erforderlich.
Weitere Informationen zum neuen Bedingungsschlüssel aws:PrincipalOrgPaths finden Sie in der IAM-Dokumentation.