Utilisez IAM afin de contrôler l'accès à une ressource en fonction du compte, de l'unité organisationnelle (OU) ou de l'organisation qui la contient

Aujourd'hui, AWS Identity and Access Management (IAM) a introduit une nouvelle façon de contrôler l'accès à vos ressources en fonction du compte, de l'unité organisationnelle (OU) ou de l'organisation dans AWS Organizations qui contient vos ressources. AWS vous recommande de configurer plusieurs comptes à mesure que vos charges de travail augmentent. L'utilisation d'un environnement multicompte présente plusieurs avantages, notamment des contrôles de sécurité flexibles en isolant les charges de travail ou les applications qui ont des exigences de sécurité spécifiques. Grâce à cette nouvelle fonctionnalité IAM, vous pouvez désormais créer des politiques IAM afin de permettre à vos principaux d'accéder uniquement aux ressources d'organisations, d'unités organisationnelles ou de comptes AWS spécifiques.

La nouvelle fonctionnalité inclut des clés de condition pour le langage de politique IAM appelées aws:ResourceAccount, aws:ResourceOrgPaths, et aws:ResourceOrgID. Les nouvelles clés prennent en charge une grande variété d'actions et de services AWS, ce qui vous permet d'appliquer des contrôles similaires dans différents cas d'utilisation. Par exemple, vous pouvez désormais empêcher facilement vos principaux IAM d'assumer des rôles IAM en dehors de votre propre compte AWS, sans avoir besoin de répertorier des rôles IAM spécifiques dans vos politiques. Pour ce faire, configurez une politique IAM afin de refuser l'accès à AWS Security Token Service (AWS STS) et les actions de rôle à moins que aws:ResourceAccount ne corresponde à votre ID de compte AWS unique. Une fois la politique configurée, lorsqu'une requête AWS STS est adressée à un compte non répertorié dans la politique, cet accès est bloqué par défaut. Vous pouvez attacher cette politique à un principal IAM pour appliquer cette règle à un seul rôle ou utilisateur, ou utiliser des politiques de contrôle des services dans AWS Organizations afin d'appliquer la règle de manière générale à tous vos comptes AWS.

Pour plus d'informations sur la nouvelle clé de condition, veuillez consulter la documentation IAM.