Publié le: Nov 20, 2019
Vous pouvez désormais désigner des unités d'organisation (UO), qui sont des groupes de comptes AWS dans AWS Organizations, dans les stratégies AWS Identity and Access Management. Cela facilite la définition de l'accès de vos principaux IAM (utilisateurs et rôles) aux ressources AWS de votre organisation. AWS Organizations vous permet d'organiser vos comptes dans des UO pour qu'ils soient en phase avec leurs objectifs commerciaux et de sécurité.
Vous pouvez à présent utiliser une nouvelle clé de condition, aws:PrincipalOrgPaths, dans vos stratégies pour autoriser ou refuser l'accès en fonction de l'adhésion d'un principal d'une UO. Il n'a jamais été aussi facile de partager des ressources entre les comptes que vous possédez dans vos environnements AWS.
Il se peut que vous ayez, par exemple, un compartiment Amazon S3 à partager avec des développeurs et des applications provenant de comptes membres d'une UO spécifique. Pour cela, vous pouvez spécifier la condition aws:PrincipalOrgPaths et définir la valeur sur l'ID de l'unité d'organisation du mandataire dans la politique basée sur les ressources jointe au compartiment. Lorsqu'un principal tente d'accéder au compartiment, AWS vérifie que l'UO de son compte correspond à celle spécifiée dans la politique. Avec cette condition, les autorisations s'appliquent automatiquement lorsque vous ajoutez des comptes à l'UO sans mises à jour supplémentaires de la politique.
Pour en savoir plus sur la nouvelle clé de condition aws:PrincipalOrgPaths, vous pouvez consulter la documentation IAM.