Publicado en: Nov 16, 2023
Hoy, AWS Identity and Access Management (IAM) lanzó dos nuevas claves de condición globales para las políticas de IAM que le permiten permitir de forma escalable que los servicios de AWS accedan a sus recursos solo en su nombre. Con esta nueva capacidad de IAM, puede simplificar la administración de sus políticas basadas en recursos para exigir que los servicios de AWS accedan a sus recursos solo cuando la solicitud provenga de su organización o unidad organizativa (OU) de AWS Organizations.
La nueva capacidad incluye claves de condición para el lenguaje de la política de IAM con denominación aws:SourceOrgID y aws:SourceOrgPaths. Estas claves amplían la capacidad de las claves de condición AWS:SourceAccount y AWS:SourceARN existentes para hacer referencia a su organización o unidad organizativa. Las nuevas claves son compatibles con una gran variedad de servicios y de acciones, por lo que puede aplicar controles similares en diferentes casos de uso. Por ejemplo, AWS CloudTrail registra las actividades de la cuenta y registra estos eventos en un bucket de Amazon Simple Storage Service (S3). Ahora puede utilizar la clave de condición aws:SourceOrgID y definir el valor con el ID de su organización en el elemento de condición de su política bucket de S3. Esto garantiza que CloudTrail solo pueda escribir registros en nombre de las cuentas de su organización en su bucket de S3, lo que evita que los registros de CloudTrail ajenos a su organización escriban en su bucket de S3.
Para obtener más información sobre las nuevas claves de condición, consulte la entrada de nuestro blog «Use controles escalables para que los servicios de AWS accedan a sus recursos» y la documentación de IAM.