Publicado: Apr 27, 2022
Hoje, o AWS Identity and Access Management (IAM) introduziu uma nova maneira de controlar o acesso aos seus recursos com base na conta, unidade organizacional (OU) ou organização no AWS Organizations que contém seus recursos. A AWS recomenda que você configure várias contas à medida que suas workloads crescem. O uso de um ambiente de várias contas tem vários benefícios, incluindo controles de segurança flexíveis, isolando workloads ou aplicações que têm requisitos de segurança específicos. Com esse novo recurso do IAM, agora você pode criar políticas do IAM para permitir que seus principais acessem apenas recursos dentro de contas, OUs ou organizações específicas da AWS.
O novo recurso inclui chaves de condição para a linguagem de política do IAM, chamadas aws:ResourceAccount, aws:ResourceOrgPaths e aws:ResourceOrgID. As novas chaves oferecem suporte a uma ampla variedade de serviços e ações da AWS, para que você possa aplicar controles semelhantes em diferentes casos de uso. Por exemplo, agora você pode impedir facilmente que suas entidades principais do IAM assumam quaisquer funções do IAM fora da sua própria conta da AWS, sem precisar listar nenhuma função específica do IAM em suas políticas. Para fazer isso, configure uma política do IAM para negar acesso a ações para assumir funções do AWS Security Token Service (AWS STS), a menos que aws:ResourceAccount corresponda ao seu ID exclusivo da conta da AWS. Com a política em vigor, quando uma solicitação do AWS STS é feita para uma conta não listada na política, esse acesso é bloqueado por padrão. Você pode anexar essa política a uma entidade principal do IAM para aplicar essa regra a uma única função ou usuário ou pode usar políticas de controle de serviço no AWS Organizations para aplicar a regra amplamente às suas contas da AWS.
Para obter mais informações sobre a nova chave de condição, consulte a documentação do IAM.