投稿日: Apr 27, 2022
本日、AWS Identity and Access Management (IAM) は、リソースを含む AWS Organizations のアカウント、組織単位 (OU)、または組織に基づいてリソースへのアクセスをコントロールできる新しい方法を導入しました。AWS では、ワークロードの増大に応じて、複数のアカウントを設定することをお勧めしています。マルチアカウント環境を使用すると、特定のセキュリティ要件があるワークロードまたはアプリケーションを分離することによる柔軟なセキュリティコントロールなど、いくつかの利点があります。この新しい IAM 機能を使用すると、IAM ポリシーを作成して、プリンシパルが特定の AWS アカウント、OU、または組織内のリソースのみにアクセスできるようにできます。
この新しい機能には、aws:ResourceAccount、aws:ResourceOrgPaths、aws:ResourceOrgID と呼ばれる IAM ポリシー言語の条件キーが含まれています。この新しいキーは幅広い種類の AWS のサービスとアクションをサポートしているため、さまざまなユースケースに同様のコントロールを適用できます。例えば、ポリシーに特定の IAM ロールをリストする必要なしに、IAM プリンシパルが自分の AWS アカウントの外部で IAM ロールを引き受けるのを簡単に防ぐことができます。これを実現するには、aws:ResourceAccount が一意の AWS アカウント ID と一致しない限り、AWS Security Token Service (AWS STS) へのアクセスを拒否するように IAM ポリシーを設定します。ポリシーが設定されている場合、ポリシーにリストされていないアカウントに対して AWS STS リクエストが行われると、このアクセスはデフォルトでブロックされます。このポリシーを IAM プリンシパルにアタッチして、このルールを単一のロールまたはユーザーに適用するか、AWS Organizations のサービスコントロールポリシーを使用して、AWS アカウント全体にルールを広く適用することができます。
新しい条件キーの詳細については、IAM のドキュメントを参照してください。