Veröffentlicht am: Nov 16, 2023
Heute hat AWS Identity and Access Management (IAM) zwei neue globale Bedingungsschlüssel für IAM-Richtlinien eingeführt, mit denen Sie AWS-Services skalierbar erlauben können, in Ihrem Namen auf Ihre Ressourcen zuzugreifen. Mit dieser neuen IAM-Funktion können Sie die Verwaltung Ihrer ressourcenbasierten Richtlinien vereinfachen und festlegen, dass AWS-Services nur dann auf Ihre Ressourcen zugreifen dürfen, wenn die Anfrage von Ihrer Organisation oder Organisationseinheit (OU) in AWS Organizations stammt.
Die neue Funktion umfasst Bedingungsschlüssel für die IAM-Richtliniensprachen aws:SourceOrgID und aws:SourceOrgPaths. Diese Schlüssel erweitern die Fähigkeit der bestehenden Bedingungsschlüssel aws:SourceAccount und aws:SourceArn, auf Ihre Organisation oder OU zu verweisen. Die neuen Schlüssel werden von einer Vielzahl von Services und Aktionen unterstützt, sodass Sie in verschiedenen Anwendungsfällen ähnliche Kontrollen verwenden können. Beispielsweise zeichnet AWS CloudTrail Kontoaktivitäten auf und protokolliert diese Ereignisse in einem Amazon Simple Storage Service (S3)-Bucket. Ab sofort können Sie den Bedingungsschlüssel aws:SourceOrgID nutzen und den Wert im Bedingungselement Ihrer S3-Bucket-Richtlinie auf Ihre Organisations-ID setzen. Dadurch wird sichergestellt, dass CloudTrail nur Protokolle im Namen von Konten innerhalb Ihrer Organisation in Ihren S3-Bucket schreiben kann. Dadurch wird verhindert, dass CloudTrail-Protokolle außerhalb Ihrer Organisation in Ihren S3-Bucket geschrieben werden.
Weitere Informationen zu den neuen Bedingungsschlüsseln finden Sie in unserem Blogbeitrag „Skalierbare Steuerelemente für den Zugriff von AWS-Services auf Ihre Ressourcen verwenden“ und in der IAM-Dokumentation.