Publicado en: May 4, 2021
AWS Identity and Access Management (IAM) ahora admite condiciones de políticas para ayudar a administrar los permisos de los servicios de AWS que acceden a los recursos. Muchos servicios de AWS requieren acceso a los recursos internos para realizar tareas, y con frecuencia utilizan su propia identidad de servicio, llamada entidad principal de servicio, para lograrlo. Con las nuevas condiciones de las entidades principales de servicio, es sencillo crear reglas que apliquen una regla para todas las entidades principales de servicio, o bien excluir las entidades principales de servicio de ciertas reglas de permisos concebidas únicamente para sus propias identidades.
Por ejemplo, para enviar datos de registro a los buckets de S3 con AWS Cloudtrail, debe conceder a la entidad principal del servicio de CloudTrail acceso a un bucket de destino controlado por usted. Supongamos que desea exigir que cualquier persona que obtenga acceso al bucket de S3 deba utilizar AWS PrivateLink, pero aún así permitir que la entidad principal del servicio AWS CloudTrail envíe datos. Ahora puede crear fácilmente la política del bucket de S3 para denegar el acceso a menos que la solicitud utilice el punto de enlace de PrivateLink, o si la entidad principal que realiza la solicitud es una entidad principal de servicio de AWS.
Las nuevas condiciones de la política de IAM son aws:PrincipalIsAWSService, aws:PrincipalServiceName y aws:PrincipalServiceNamesList. Puede comenzar a utilizar estas nuevas condiciones en las políticas de IAM sin costo adicional. Para obtener más información, visite la documentación sobre las claves de condición globales de AWS.