WKLD.02 — Restrinja o escopo de uso de credenciais com permissões de políticas baseadas em recursos

Políticas são objetos que podem definir permissões ou especificar condições de acesso. Existem dois tipos principais de políticas:

• As políticas baseadas em identidade são anexadas aos diretores e definem quais são as permissões do diretor no ambiente. AWS

• Políticas baseadas em recursos são anexadas a um recurso, como um bucket do Amazon Simple Storage Service (Amazon S3) ou um endpoint de nuvem privada virtual (). VPC Essas políticas especificam quais entidades principais têm acesso permitido, ações válidas e quaisquer outras condições que devem ser atendidas.

Para que uma entidade principal tenha acesso para realizar uma ação contra um recurso, ela deve ter permissão concedida em sua política baseada em identidade e atender às condições da política baseada em recurso. Para obter mais informações, consulte Políticas baseadas em identidade e políticas baseadas em recursos (documentação). IAM

As condições recomendadas para políticas baseadas em recursos incluem:

• Restrinja o acesso somente aos diretores em uma organização especificada (definida em AWS Organizations) usando a aws:PrincipalOrgID condição.

• Restrinja o acesso ao tráfego originado em um VPC ponto final VPC ou específico usando a aws:SourceVpce condição aws:SourceVpc or, respectivamente.

• Permita ou negue o tráfego com base no endereço IP de origem usando uma condição aws:SourceIp.

O seguinte exemplo mostra uma política baseada em recursos que usa a condição aws:PrincipalOrgID para permitir entidades principais na organização <o-xxxxxxxxxxx> para acessar o bucket <bucket-name> do S3.

{
   "Version":"2012-10-17",
   "Statement":[
     {
       "Sid":"AllowFromOrganization",
       "Effect":"Allow",
       "Principal":"*",
       "Action":"s3:*",
       "Resource":"arn:aws:s3:::<bucket-name>/*",
       "Condition": {
         "StringEquals": {"aws:PrincipalOrgID":"<o-xxxxxxxxxxx>"}
       }
     }
   ]
}