Publicado en: Apr 27, 2022
Hoy AWS Identity and Access Management (IAM) presentó una nueva manera en la que puede controlar el acceso a sus recursos en función de la cuenta, la Unidad Organizativa (OU) o la organización en AWS Organizations que contenga sus recursos. AWS recomienda que cree varias cuentas a medida que sus cargas de trabajo aumenten. Usar un entorno de varias cuentas tiene muchos beneficios, incluidos los controles de seguridad flexibles al aislar cargas de trabajo o aplicaciones que posean requisitos de seguridad específicos. Con esta nueva capacidad de IAM, ahora puede crear políticas de IAM a fin de habilitar a sus entidades principales para que puedan acceder solo a sus recursos dentro de cuentas, OU u organizaciones específicas de AWS.
La nueva capacidad incluye claves de condición para el lenguaje de la política de IAM con denominación aws:ResourceAccount, aws:ResourceOrgPaths y aws:ResourceOrgID. Las nuevas claves admiten una gran variedad de servicios de AWS y de acciones, por lo que puede aplicar controles similares en diferentes casos de uso. Por ejemplo, ahora puede evitar fácilmente que sus entidades principales de IAM asuman roles de IAM fuera de su cuenta propia de AWS, sin la necesidad de mencionar roles específicos en sus políticas. A fin de lograrlo, configure una política de IAM que deniegue el acceso a AWS Security Token Service (AWS STS) para asumir acciones de roles a menos que aws:ResourceAccount coincida con el ID único de su cuenta de AWS. Cuando la política ya esté establecida, si se realiza una solicitud de AWS STS en una cuenta que no aparece en la política, se bloqueará el acceso de forma predeterminada. Puede adjuntar esta política a una entidad principal de IAM para aplicar esta regla a un solo rol o usuario o usar las políticas de control de servicios en AWS Organizations para aplicar la regla de forma general en todas sus cuentas de AWS.
Para obtener más información sobre la nueva clave de condición, consulte la documentación de IAM.