Publicado: May 4, 2021
O AWS Identity and Access Management (IAM) agora oferece suporte a condições de política para ajudar a gerenciar permissões para produtos da AWS que acessam seus recursos. Muitos serviços da AWS exigem acesso aos seus recursos internos para realizar tarefas, e eles costumam usar sua própria identidade de serviço chamada de entidade principal de serviço para conseguir isso. Usando as novas condições de entidades principais de serviço, é simples criar regras que imponham uma regra para todas as suas entidades principais de serviço ou que excluem entidades principais de serviço de certas regras de permissão que se destinam apenas às suas próprias identidades.
Por exemplo, para enviar dados de log para seus buckets do S3 com o AWS Cloudtrail, você precisa conceder acesso de entidade principal de serviço do CloudTrail a um bucket de destino que você controla. Digamos que você queira exigir que qualquer pessoa que acesse seu bucket do S3 use o AWS PrivateLink, mas ainda permita que a entidade principal de serviço do AWS CloudTrail envie dados. Agora, você pode criar facilmente sua política de bucket do S3 para negar acesso, a menos que a solicitação use seu endpoint PrivateLink ou se a entidade principal que faz a solicitação for uma entidade principal de serviço da AWS.
As novas condições de política do IAM são aws:PrincipalIsAWSService, aws:PrincipalServiceName e aws:PrincipalServiceNamesList. Você pode começar a usar essas novas condições em suas políticas do IAM sem nenhum custo adicional. Para obter mais informações, consulte a documentação sobre Chaves de condição global da AWS.