Veröffentlicht am: Apr 27, 2022
Heute hat AWS Identity and Access Management (IAM) eine neue Methode eingeführt, mit der Sie den Zugriff auf Ihre Ressourcen auf der Grundlage des Kontos, der Organisationseinheit (OU) oder der Organisation in AWS Organizations, die Ihre Ressourcen enthält, regeln können. AWS empfiehlt, dass Sie mehrere Konten einrichten, wenn Ihre Workloads wachsen. Die Verwendung einer Umgebung mit mehreren Konten bietet mehrere Vorteile, z.B. flexible Sicherheitskontrollen durch die Isolierung von Workloads oder Anwendungen, die besondere Sicherheitsanforderungen haben. Mit dieser neuen IAM-Funktion können Sie jetzt IAM-Richtlinien erstellen, um Ihren Prinzipalen nur den Zugriff auf Ressourcen innerhalb bestimmter AWS-Konten, OUs oder Organisationen zu ermöglichen.
Die neue Funktion enthält Bedingungsschlüssel für die IAM-Richtliniensprache namens aws:ResourceAccount, aws:ResourceOrgPaths und aws:ResourceOrgID. Die neuen Schlüssel unterstützen eine Vielzahl von AWS-Services und -Aktionen, so dass Sie in verschiedenen Anwendungsfällen ähnliche Kontrollen verwenden können. So können Sie beispielsweise auf ganz einfache Weise verhindern, dass Ihre IAM-Prinzipale irgendwelche IAM-Rollen außerhalb Ihres eigenen AWS-Kontos annehmen, ohne dass Sie in Ihren Richtlinien bestimmte IAM-Rollen auflisten müssen. Um dies zu erreichen, konfigurieren Sie eine IAM-Richtlinie, die den Zugriff auf AWS Security Token Service (AWS STS) verweigert, wenn aws:ResourceAccount nicht mit Ihrer eindeutigen AWS-Konto-ID übereinstimmt. Wenn eine AWS-STS-Anfrage an ein Konto gerichtet wird, das nicht in der Richtlinie aufgeführt ist, wird der Zugriff standardmäßig blockiert. Sie können diese Richtlinie einem IAM-Prinzipal zuordnen, um diese Regel auf eine einzelne Rolle oder einen einzelnen Benutzer anzuwenden, oder Service-Kontrollrichtlinien in AWS Organizations verwenden, um die Regel allgemein auf Ihre AWS-Konten anzuwenden.
Weitere Informationen über den neuen Bedingungsschlüssel finden Sie in der IAM-Dokumentation.