发布于: Feb 13, 2023
Amazon Identity and Access Management 现在支持根据主体或资源的 Amazon Organizations 中组织单元(OU)或组织 ID 优化权限策略。借助这些新的 IAM 功能,您现在可以制定 IAM 策略,使您的主体只能访问特定 OU 或组织内的资源。
新功能包括名为 aws:PrincipalOrgID、aws:PrincipalOrgPaths、aws:ResourceOrgID 和 aws:ResourceOrgPaths 的 IAM policy 语言条件键。新键支持各种服务和操作,因此您可以在不同的使用案例中应用类似控制。例如,假设您有一项 Amazon S3 存储桶策略,并且您希望与组织内部亚马逊云科技账户关联的主体对其有访问权限。现在,您可以使用 aws:PrincipalOrgID 条件并将值设置为策略条件元素中的 组织 ID。
有关新条件键的更多信息,请参阅 IAM 文档。