Inserito il: Nov 20, 2019
Puoi fare riferimento alle unità organizzative (OU, Organizational Units), che sono gruppi di account AWS in AWS Organizations e nelle policy AWS Identity and Access Management (IAM), facilitando la definizione dell’accesso per le entità di una policy IAM (utenti e ruoli) alle risorse AWS nella tua organizzazione. AWS Organizations ti consente di organizzare gli account in unità organizzative (UO) per allinearle con le rispettive finalità di business o di sicurezza.
Ora puoi utilizzare una nuova chiave di condizione, aws:PrincipalOrgPaths, nelle tue policy per consentire o negare l’accesso in base alla partecipazione dell’entità di una policy in un’unità organizzative (OU). In tal modo è più semplice condividere le risorse tra gli account di cui disponi nei tuoi ambienti AWS.
Ad esempio, puoi disporre di un bucket Amazon S3 che ti serve da condividere con gli sviluppatori e le applicazioni degli account che appartengono a una unità organizzativa specifica. Per farlo, puoi specificare la condizione aws:PrincipalOrgPaths e impostare il valore per l’ID unità organizzativa dell’intermediario nella policy basata sulle risorse collegata al bucket. Quando l’entità di una policy tenta di accedere al bucket, AWS verifica che l’unità organizzativa del rispettivo account corrisponda a quella specificata nella policy. Con questa condizione, le autorizzazioni si applicano automaticamente quando aggiunti gli account all’unità organizzativa senza alcun aggiornamento aggiuntivo alla policy.
Per ulteriori informazioni sulla nuova chiave di condizione aws:PrincipalOrgPaths, puoi consultare la documentazione IAM.