Publicado: Nov 16, 2023
Hoje, o AWS Identity and Access Management (IAM) lançou duas novas chaves de condição globais para políticas do IAM para que você permita que os serviços da AWS acessem seus recursos de forma escalável somente em seu nome. Com esse novo recurso do IAM, você pode simplificar o gerenciamento de suas políticas baseadas em recursos para exigir que os serviços da AWS acessem seus recursos somente quando a solicitação for originada de sua organização ou unidade organizacional (OU) no AWS Organizations.
O novo recurso inclui chaves de condição para a linguagem de política do IAM chamada aws:SourceOrgID e aws:SourceOrgPaths. Essas chaves ampliam a capacidade das chaves de condição existentes aws:SourceAccount e aws:SourceArn de referenciar sua organização ou OU. As novas chaves oferecem suporte a uma ampla variedade de serviços e ações para que você possa aplicar controles semelhantes em diferentes casos de uso. Por exemplo, o AWS CloudTrail registra as atividades da conta e registra em log esses eventos em um bucket do Amazon Simple Storage Service (S3). Agora, você pode usar a condição aws:SourceOrgID e definir o valor como o ID da organização no elemento condicional da política de bucket do S3. Isso garante que o CloudTrail só possa gravar logs em nome de contas da sua organização no seu bucket do S3, evitando que logs do CloudTrail fora da sua organização sejam gravados no seu bucket do S3.
Para obter mais informações sobre as novas chaves de condição, consulte nossa publicação do blog “Use scalable controls for AWS services accessing your resources” e a documentação do IAM.