게시된 날짜: Nov 20, 2019
이제 AWS Identity and Access Management(IAM) 정책에서 AWS Organizations의 AWS 계정 그룹인 OU(조직 단위)를 참조하여 조직의 AWS 리소스에 대한 IAM 보안 주체(사용자 및 역할)의 액세스 권한을 보다 쉽게 정의할 수 있습니다. AWS Organizations를 사용하면 계정을 비즈니스 또는 보안 목적에 따라 OU로 분류할 수 있습니다.
이제 정책에서 새로운 조건 키인 aws:PrincipalOrgPaths를 사용하여 보안 주체의 OU 내 멤버 자격에 따라 액세스를 허용하거나 거부할 수 있습니다. 따라서 AWS 환경에서 소유 계정 간에 리소스를 보다 쉽게 공유할 수 있습니다.
예를 들어 특정 OU의 멤버인 계정에서 개발자 및 애플리케이션과 공유해야 하는 Amazon S3 버킷이 있는 경우, 공유를 위해 버킷에 연결된 리소스 기반 정책에서 aws:PrincipalOrgPaths 조건을 지정하고 해당 값을 호출자의 조직 단위 ID로 설정할 수 있습니다. 보안 주체가 버킷에 액세스하려고 하면 AWS는 해당 계정의 OU가 정책에 지정된 것과 일치하는지 확인합니다. 이 조건을 지정하면 정책을 추가로 업데이트하지 않아도 OU에 계정을 추가할 때 권한이 자동으로 적용됩니다.
새로운 조건 키 aws:PrincipalOrgPaths에 대한 자세한 내용은 IAM 설명서를 참조하십시오.