張貼日期: Nov 20, 2019
您現在可以參考 Organizational Unit (OU),這是 AWS Organizations 中的 AAWS 帳戶群組,採用 AWS Identity and Access Management (IAM) 政策,可讓您更輕鬆地為 IAM 主體 (使用者和角色) 定義您組織中 AWS 資源的存取。AWS Organizations 可讓您將帳戶組織整理到 OU,以與其業務或安全目地一致。
現在,您可以在政策中使用新條件金鑰, aws:PrincipalOrgPaths,以根據主體在 OU 中的成員資格允許或拒絕存取。這可讓您比以往更輕鬆地在您擁有的 AWS 環境中的帳戶之間共用資源。
例如,您可能擁有需要從屬於特定 OU 成員的帳戶與開發人員和應用程式共用的 Amazon S3 儲存貯體。為實現此要求,您可以在附加至儲存貯體的基於資源的政策中指定 aws:PrincipalOrgPaths 條件並設定發起人的組織單位 ID。當貯體嘗試存取儲存貯體時,AWS 會驗證其帳戶的 OU 是否與政策中指定的相符。藉由此條件,會在您新增帳戶到 OU 時自動套用權限,而無需額外更新政策。
若要進一步了解新的條件金鑰 aws:PrincipalOrgPaths,您可以參閱 IAM 文件。