Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für Dienststeuerungsrichtlinien für AWS Organizations und AWS RAM
AWS RAM unterstützt Service Control Policies (SCPs). SCPs sind Richtlinien, die Sie an Elemente in einer Organisation anfügen, um Berechtigungen innerhalb dieser Organisation zu verwalten. Ein SCP gilt für alle AWS-Konten Unterkategorien des Elements, an das Sie den SCP anhängen. SCPs bieten eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen aller Konten Ihrer Organisation. Sie können Ihnen dabei helfen, sicherzustellen, dass Sie die Richtlinien Ihrer Organisation zur Zugangskontrolle einhalten. AWS-Konten Weitere Informationen finden Sie unter Service-Kontrollrichtlinien im AWS Organizations -Benutzerhandbuch.
Voraussetzungen
Um SCPs zu verwenden, müssen Sie Folgendes ausführen:
-
Aktivieren aller Funktionen in der Organisation. Weitere Informationen finden Sie im AWS Organizations Benutzerhandbuch unter Alle Funktionen in Ihrer Organisation aktivieren
-
Aktivieren Sie SCPs für die Verwendung in Ihrer Organisation. Weitere Informationen finden Sie im AWS Organizations Benutzerhandbuch unter Richtlinientypen aktivieren und deaktivieren
-
Erstellen Sie die SCPs, die Sie benötigen. Weitere Informationen zum Erstellen von SCPs finden Sie unter Erstellen und Aktualisieren von SCPs im AWS Organizations Benutzerhandbuch.
Beispiel für Service-Kontrollrichtlinien
Inhalt
- Beispiel 1: Externes Teilen verhindern
- Beispiel 2: Verhindern Sie, dass Benutzer Einladungen zur gemeinsamen Nutzung von Ressourcen von externen Konten außerhalb Ihrer Organisation annehmen
- Beispiel 3: Erlauben Sie bestimmten Konten, bestimmte Ressourcentypen gemeinsam zu nutzen
- Beispiel 4: Verhindern Sie die gemeinsame Nutzung mit der gesamten Organisation oder mit Organisationseinheiten
- Beispiel 5: Erlauben Sie die gemeinsame Nutzung nur mit bestimmten Prinzipalen
In den folgenden Beispielen wird veranschaulicht, wie Sie verschiedene Aspekte der Ressourcenfreigabe in einer Organisation steuern können.
Beispiel 1: Externes Teilen verhindern
Das folgende SCP verhindert, dass Benutzer Ressourcenfreigaben erstellen, die die gemeinsame Nutzung mit Prinzipalen ermöglichen, die sich außerhalb der Organisation des gemeinsam genutzten Benutzers befinden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:UpdateResourceShare" ], "Resource": "*", "Condition": { "Bool": { "ram:RequestedAllowsExternalPrincipals": "true" } } } ] }
Beispiel 2: Verhindern Sie, dass Benutzer Einladungen zur gemeinsamen Nutzung von Ressourcen von externen Konten außerhalb Ihrer Organisation annehmen
Der folgende SCP verhindert, dass alle Benutzer in einem betroffenen Konto eine Einladung zur Nutzung eines Resource Shares annehmen. Ressourcenfreigaben, die für andere Konten in derselben Organisation wie das Sharing-Konto gemeinsam genutzt werden, generieren keine Einladungen und sind daher von diesem SCP nicht betroffen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ram:AcceptResourceShareInvitation", "Resource": "*" } ] }
Beispiel 3: Erlauben Sie bestimmten Konten, bestimmte Ressourcentypen gemeinsam zu nutzen
Das folgende SCP erlaubt nur Konten 111111111111
und 222222222222
das Erstellen neuer Ressourcenfreigaben, die Amazon EC2-Präfixlisten gemeinsam nutzen, oder das Zuordnen von Präfixlisten zu bestehenden Ressourcenfreigaben.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ram:AssociateResourceShare", "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalAccount": [ "111111111111", "222222222222" ] }, "StringEqualsIfExists": { "ram:RequestedResourceType": "ec2:PrefixList" } } } ] }
Beispiel 4: Verhindern Sie die gemeinsame Nutzung mit der gesamten Organisation oder mit Organisationseinheiten
Das folgende SCP verhindert, dass Benutzer Ressourcenfreigaben erstellen, die Ressourcen mit einer gesamten Organisation oder mit beliebigen Organisationseinheiten gemeinsam nutzen. Benutzer können Daten mit einzelnen Personen AWS-Konten in der Organisation oder mit IAM-Rollen oder -Benutzern teilen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare" ], "Resource": "*", "Condition": { "StringLike": { "ram:Principal": [ "arn:aws:organizations::*:organization/*", "arn:aws:organizations::*:ou/*" ] } } } ] }
Beispiel 5: Erlauben Sie die gemeinsame Nutzung nur mit bestimmten Prinzipalen
Das folgende Beispiel mit SCP ermöglicht es Benutzern, Ressourcen nur mit der o-12345abcdef,
Organisationseinheit ou-98765fedcba
der Organisation und gemeinsam zu nutzen. AWS-Konto
111111111111
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ram:AssociateResourceShare", "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringNotEquals": { "ram:Principal": [ "arn:aws:organizations::123456789012:organization/o-12345abcdef", "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba", "111111111111" ] }, "Null": { "ram:Principal": "false" } } } ] }