发布于: Dec 11, 2023
今天,Amazon Identity and Access Management(IAM)为 IAM 策略推出了两个新的全局条件键,使您能够扩展性地允许亚马逊云科技服务仅代表您访问您的资源。借助这项新的 IAM 功能,您可以简化对基于资源策略的管理,要求亚马逊云科技服务仅在请求来自您的组织或 Amazon Organizations 中的组织单位(OU)时才访问您的资源。
新功能包括名为 aws:SourceOrgID 和 aws:SourceOrgPaths 的 IAM policy 语言的条件键。这些键扩展了现有 aws:SourceAccount 和 aws:SourceArn 条件键的功能,以引用您的组织或 OU。各种服务和操作均支持新键,因此您可以在不同的应用场景中应用类似控件。 例如,Amazon CloudTrail 记录账户活动并将这些事件记录到 Amazon Simple Storage Service(S3)存储桶中。现在,您可以使用 aws:SourceOrgID 条件键,并在 S3 存储桶策略的条件元素中将值设置为您的组织 ID。这可确保 CloudTrail 只能代表组织内的账户将日志写入您的 S3 存储桶,从而防止组织外部的 CloudTrail 日志写入您的 S3 存储桶。
有关新条件键的更多信息,请参阅我们的博客文章“使用可扩展的控件让亚马逊云科技服务访问您的资源”和 IAM 文档。