Publié le: May 4, 2021
AWS Identity and Access Management (IAM) prend désormais en charge les conditions de politique pour faciliter la gestion des autorisations pour les services AWS qui accèdent à vos ressources. De nombreux services AWS nécessitent un accès à vos ressources internes pour effectuer des tâches, et ils utilisent souvent leur propre identité de service appelée mandataire de service à cet effet. En utilisant les nouvelles conditions de mandataire de service, il est simple de créer des règles qui appliquent une règle à tous vos principaux de service, ou qui excluent les mandataires de service de certaines règles d'autorisation qui sont destinées uniquement à vos propres identités.
Par exemple, pour envoyer des données de journalisation vers vos compartiments S3 avec AWS Cloudtrail, vous devez accorder au mandataire du service de CloudTrail l'accès à un compartiment de destination que vous contrôlez. Supposons que vous souhaitez exiger que toute personne accédant à votre compartiment S3 utilise AWS PrivateLink, tout en autorisant le mandataire du service AWS CloudTrail à envoyer des données. Maintenant, vous pouvez facilement créer votre politique de compartiment S3 pour refuser l'accès, à moins que la demande utilise votre point de terminaison PrivateLink, ou que le mandataire qui fait la demande est un mandataire de service AWS.
Les nouvelles conditions de politique IAM sont aws:PrincipalIsAWSService, aws:PrincipalServiceName et aws:PrincipalServiceNamesList. Vous pouvez commencer à utiliser ces nouvelles conditions dans vos politiques IAM sans frais supplémentaires. Pour en savoir plus, consultez la documentation sur les Clés de conditions globales AWS.