Publicado en: Nov 20, 2019
Ahora puede hacer referencia a las unidades organizacionales (OU), que son grupos de cuentas de AWS en AWS Organizations, en las políticas de AWS Identity and Access Management (IAM), lo que facilita la definición del acceso de los elementos principales de IAM (usuarios y roles) a los recursos de AWS en su organización. Con AWS Organizations, puede organizar sus cuentas en OU para alinearlas con sus objetivos de seguridad o de negocio.
Ahora puede usar una clave de condición nueva, aws:PrincipalOrgPaths, en sus políticas para permitir o denegar el acceso en función de la membresía de un elemento principal a una OU. Esto facilita más que nunca el intercambio de los recursos entre las cuentas que posee en los entornos de AWS.
Por ejemplo, puede tener un bucket de Amazon S3 que necesita compartir con los desarrolladores y las aplicaciones de las cuentas que son miembros de una OU específica. Para ello, puede especificar la condición aws:PrincipalOrgPaths y establecer el valor para el ID de la unidad organizacional del intermediario en la política basada en los recursos que está asociada al bucket. Cuando un elemento principal intenta acceder al bucket, AWS verifica que las OU de la cuentas coincidan con la que se especifica en la política. Con esta condición, los permisos se aplican automáticamente cuando se agregan cuentas a la OU, sin necesidad de actualizaciones adicionales a la política.
Para obtener más información acerca de la nueva clave de condición aws:PrincipalOrgPaths, consulte la documentación de IAM.