投稿日: Feb 21, 2020
本日より、AWS Identity and Access Management (IAM) では、お客様に代わり AWS のサービスが実行するリクエストへのアクセスを管理できるようになりました。たとえば、この新しい管理機能を使用することで、IAM プリンシパルに、AWS CloudFormation を介してのみ、Amazon Elastic Compute Cloud (EC2) インスタンスを起動できる機能を付与できるようになります。つまり、EC2 に直接アクセス権を付与する必要はありません。
今回のリリースより、プリンシパルによって行われる AWS への初期コールにルールを定義する新しい条件が導入されます。これによりサービスが実施する他のコールに影響を及ぼさないようにするのがねらいです。たとえば、AWS へのすべての初期コールが、Virtual Private Cloud (VPC) または自社のプライベート IP サブセットから来るもに絞り、他のサービスへのダウンストリームリクエストには同じルールを適用しないようにすることができます。
新しい条件である aws:CalledVia はお客様の資格情報を使用してリクエストを出すすべてのサービスでご利用いただけます。この新しい条件をすぐに使い始めるには、AWS ドキュメントのグローバル条件キーをご覧ください。