Publicado: Nov 20, 2019
Você agora pode consultar as Organizational Units (OUs – unidades organizacionais), que são grupos de contas da AWS no AWS Organizations e em políticas do Identity and Access Management (IAM) da AWS, facilitando a definição do acesso aos seus principais papéis do IAM (usuários e funções) para os recursos da AWS da sua empresa. O AWS Organizations lhe permite organizar as suas contas em OUs para alinhá-las ao seu propósito de negócios e segurança.
Agora, você pode usar uma nova chave de condição, aws:PrincipalOrgPaths, em suas políticas para permitir e negar acesso com base na associação de um dos principais papéis a uma OU. Isso torna mais fácil do que nunca compartilhar recursos entre contas que você é proprietário em seus ambientes da AWS.
Por exemplo, você pode ter um bucket do Amazon S3 que precisa compartilhar com desenvolvedores e aplicativos de contas que sejam membros de uma OU específica. Para fazê-lo, você pode especificar a condição da aws: PrincipalOrgPaths e definir o valor para a ID da unidade organizacional o ID da unidade organizacional do chamador na política baseada em recursos anexada ao bucket. Quando um dos principais papéis tenta acessar o bucket, a AWS verifica se a OU da conta corresponde à especificada na política. Com essa condição, as permissões se aplicam automaticamente quando você adiciona contas à OU sem nenhuma atualização adicional à política.
Para saber mais sobre a nova chave de condição, aws:PrincipalOrgPaths, acesse a documentação do IAM.