게시된 날짜: May 4, 2021
이제 AWS Identity and Access Management(IAM)가 리소스에 액세스하는 AWS 서비스에 대한 권한을 쉽게 관리할 수 있게 만드는 정책 조건을 지원합니다. 많은 AWS 서비스가 태스크를 수행하려면 사용자의 내부 리소스에 액세스해야 하며 이를 위해 종종 서비스 보안 주체라고 하는 고유한 서비스 ID를 사용합니다. 새로운 서비스 보안 주체 조건을 사용하면 모든 서비스 보안 주체에 대해 특정 규칙을 적용하는 규칙이나 고유한 ID에만 적용되는 특정 권한 규칙에서 서비스 보안 주체를 제외하는 규칙을 간단하게 작성할 수 있습니다.
예를 들어, AWS CloudTrail을 통해 로깅 데이터를 S3 버킷으로 전송하려면 CloudTrail의 서비스 보안 주체에 사용자가 제어하는 대상 버킷에 대한 액세스 권한을 부여해야 합니다. S3 버킷에 액세스하는 모든 사용자에게 AWS PrivateLink를 사용하도록 요구하면서도 여전히 AWS CloudTrail 서비스 보안 주체가 데이터를 전송할 수 있도록 허용하려 한다고 가정합니다. 이제 요청이 사용자의 PrivateLink 엔드포인트를 사용하는 경우 또는 요청을 수행하는 보안 주체가 AWS 서비스 보안 주체인 경우가 아닌 한 액세스를 거부하는 S3 버킷 정책을 쉽게 작성할 수 있습니다.
새 IAM 정책 조건은 aws:PrincipalIsAWSService, aws:PrincipalServiceName 및 aws:PrincipalServiceNamesList입니다. IAM 정책에서 추가 비용 없이 이러한 새 조건을 시작할 수 있습니다. 자세한 정보는 AWS 전역 조건 키를 참조하세요.