投稿日: Nov 16, 2023
本日、AWS Identity and Access Management (IAM) は、IAM ポリシー用の 2 つの新しいグローバル条件キーをリリースしました。これにより、AWS サービスがお客様の代わりにお客様のリソースにのみアクセスすることをスケーラブルに許可できます。この新しい IAM 機能により、リソースベースのポリシーの管理を簡素化して、AWS サービスが AWS Organizations の組織または組織単位 (OU) からリクエストが送信された場合にのみリソースにアクセスするように要求できます。
この新しい機能には、aws:SourceOrgID と aws:SourceOrgPaths と呼ばれる IAM ポリシー言語の条件キーが含まれています。これらのキーは、既存の aws:SourceAccount と aws:SourceArn 条件キーの機能を拡張して、組織または OU を参照できるようにします。これらの新しいキーは幅広い種類のサービスとアクションによってサポートされるため、さまざまなユースケースに同様のコントロールを適用できます。例えば、AWS CloudTrail はアカウントアクティビティを記録し、これらのイベントを Amazon Simple Storage Service (S3) バケットに記録します。今後は aws:SourceOrgID 条件キーを使用し、S3 バケットポリシーの条件エレメントで組織 ID にその値を設定できます。これにより、CloudTrail が組織内のアカウントに代わりにのみ S3 バケットにログを書き込めるようになり、CloudTrail によって組織外のログが S3 バケットに書き込まれないようにできます。
新しい条件キーの詳細については、ブログ記事「リソースにアクセスする AWS サービスにスケーラブルなコントロールを使用する」と IAM ドキュメントを参照してください。