Veröffentlicht am: May 4, 2021

AWS Identity and Access Management (IAM) unterstützt jetzt Richtlinienbedingungen, um die Verwaltung von Berechtigungen für AWS-Services zu unterstützen, die auf Ihre Ressourcen zugreifen. Viele AWS-Services benötigen Zugriff auf Ihre internen Ressourcen, um Aufgaben auszuführen, und sie verwenden dazu oft ihre eigene Service-Identität, die als Service-Prinzipal bezeichnet wird. Mit den neuen Bedingungen für Service-Prinzipal ist es leicht, Regeln zu erstellen, die eine Regel für alle Ihre Service-Prinzipals erzwingen oder Service-Prinzipals von bestimmten Berechtigungsregeln ausschließen, die nur für Ihre eigenen Identitäten bestimmt sind.

Um beispielsweise mit AWS CloudTrail Protokollierungsdaten an Ihre S3-Buckets zu senden, müssen Sie dem Service-Prinzipal von CloudTrail Zugriff auf einen von Ihnen kontrollierten Ziel-Bucket gewähren. Beispielsweise wollen Sie festlegen, dass jeder, der auf Ihren S3-Bucket zugreift, AWS PrivateLink verwenden muss, aber dennoch dem AWS-CloudTrail-Service-Prinzipal erlauben, Daten zu senden. Jetzt können Sie problemlos Ihre S3-Bucket-Richtlinie erstellen, um den Zugriff zu verweigern, es sei denn, die Anfrage verwendet Ihren PrivateLink-Endpunkt oder der Prinzipal, der die Anfrage stellt, ist ein AWS-Service-Prinzipal.

Die neuen IAM-Richtlinienbedingungen sind aws:PrincipalIsAWSService, aws:PrincipalServiceName, und aws:PrincipalServiceNamesList. Sie können mit diesen neuen Bedingungen in Ihren IAM-Richtlinien ohne Zusatzkosten beginnen. Weitere Informationen finden Sie in der Dokumentation zu AWS Globale Bedingungsschlüssel .