Publié le: Nov 16, 2023
La gestion des identités et des accès AWS (AWS IAM) a lancé aujourd'hui deux nouvelles clés conditionnelles globales pour les politiques IAM. Elles vous permettent d'autoriser de manière évolutive les services AWS à accéder à vos ressources, en votre nom uniquement. Grâce à cette nouvelle fonctionnalité IAM, vous pouvez simplifier la gestion de vos politiques basées sur appliquées aux ressources. Si vous le souhaitez, les services AWS n'accèderont à vos ressources que si la demande provient de votre organisation ou unité organisationnelle dans AWS Organizations.
Cette nouvelle fonctionnalité comprend des clés conditionnelles appelées aws:SourceOrgID et aws:SourceOrgPaths pour le langage des politiques IAM. Ces clés étendent la capacité des clés conditionnelles aws:SourceAccount et aws:SourceArn déjà en place à faire référence à une organisation ou unité d'organisation. Elles sont prises en charge par un large éventail de services et d'actions, ce qui vous permet d'appliquer des contrôles similaires dans différents cas d'utilisation. Par exemple, AWS CloudTrail enregistre les activités du compte et journalise ces événements dans un compartiment Amazon Simple Storage Service (Amazon S3). Vous pouvez désormais utiliser la clé conditionnelle aws:SourceOrgID en utilisant comme valeur l'ID de votre organisation dans l'élément condition de la politique de votre compartiment S3. De cette manière, CloudTrail ne peut écrire des journaux dans votre compartiment S3 qu'au nom des comptes de votre organisation, empêchant ainsi les journaux CloudTrail extérieurs à votre organisation de faire de même.
Pour plus d'informations sur les nouvelles clés conditionnelles, consultez notre article de blog « Des contrôles évolutifs pour les services AWS qui accèdent à vos ressources » et la documentation d'IAM.