Slide 19
Slide 19 text
aws:SourceOrgPaths の使用例
クロスアカウントなクロスサービスアクセスの制御
特定の組織エンティティパスからリクエストが発信された場合のみアクセス可能
S3バケット
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessBasedOnSourceOrgPaths",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::example-bucket/*",
"Condition": {
"Null": {
"aws:SourceOrgPaths": "false"
},
"ForAllValues:StringEquals": {
"aws:SourceOrgPaths":
"o-exampleorgid/r-exampleroot/ou-1234-exampleou1“
}
}
}
]
}
S3リソース(バケット)ポリシー
Organizations ID: o-exampleorgid
Root ID: r-exampleroot
OU ID: ou-1234-exampleou1
Flow logs
SourceOrgPaths
のCondition句は特殊な書き方をする