投稿日: Nov 20, 2019
AWS Identity and Access Management (IAM) ポリシーで、AWS Organizations の AWS アカウントのグループである組織単位 (OU) を参照できるようになり、組織内で IAM プリンシパル (ユーザーとロール) の AWS リソースへのアクセスを簡単に定義できるようになりました。AWS Organizations では、アカウントを OU に整理して、ビジネスやセキュリティの目的に合わせて調整できます。
これで、ポリシーで新しい条件キー aws:PrincipalOrgPaths を使用して、OU のプリンシパルのメンバーシップに基づいてアクセスを許可または拒否できます。これにより、AWS 環境で所有するアカウント間でリソースをこれまでになく簡単に共有できます。
たとえば、特定の OU のメンバーであるアカウントの開発者やアプリケーションと共有する必要がある Amazon S3 バケットがある場合があります。これを実現するには、aws:PrincipalOrgPaths 条件を指定し、バケットにアタッチされたリソースベースのポリシーでの発信者の組織単位 ID に値を設定できます。プリンシパルがバケットにアクセスしようとすると、AWS はアカウントの OU がポリシーで指定された OU と一致することを確認します。この条件では、ポリシーへの追加の更新なしでアカウントを OU に追加すると、アクセス許可が自動的に適用されます。
新しい条件キー aws:PrincipalOrgPaths の詳細については、IAM ドキュメントをご覧ください。