게시된 날짜: Nov 16, 2023
오늘 AWS Identity and Access Management(IAM)의 IAM 정책용 신규 글로벌 조건 키 2개가 출시되었습니다. 이러한 키를 사용하면 확장 가능한 방식을 통해 AWS 서비스가 사용자를 대신해서만 리소스에 액세스하도록 허용할 수 있습니다. 이번에 새롭게 출시된 이 IAM 기능을 사용하면 리소스 기반 정책을 간편하게 관리할 수 있습니다. 그러면 AWS Organizations의 조직 단위(OU)나 사용자 조직에서 요청이 시작될 때만 AWS 서비스가 리소스에 액세스하도록 지정할 수 있습니다.
aws:SourceOrgID 및 aws:SourceOrgPaths IAM 정책 언어용 조건 키가 새로운 기능으로 제공됩니다. 이러한 키는 조직이나 OU를 참조하도록 기존 AWS:SourceAccount 및 AWS:SourceARN 조건 키의 기능을 확장합니다. 새로운 키는 다양한 서비스와 작업에서 지원되므로 여러 사용 사례에 걸쳐 유사한 제어 기능을 적용할 수 있습니다. 예를 들어 AWS CloudTrail은 계정 활동을 기록하며 Amazon Simple Storage Service(S3) 버킷에 이러한 이벤트를 로깅합니다. 이제는 aws:PrincipalOrgID 조건 키 사용 시 S3 버킷 정책의 조건 요소에서 값을 조직 ID로 설정할 수 있습니다. 그러면 CloudTrail이 조직 내의 계정을 대신해서만 사용자의 S3 버킷에 로그를 쓸 수 있으므로 조직 외부 CloudTrail 로그가 S3 버킷에 기록되는 상황을 방지할 수 있습니다.
새 조건 키에 대한 자세한 내용은 AWS 블로그 게시물 “리소스에 액세스하는 AWS 서비스에 확장 가능한 제어 기능 사용” 및 IAM 설명서를 참조하세요.