Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für Dienststeuerungsrichtlinien für AWS Organizations und AWS RAM
AWS RAM unterstützt Richtlinien zur Dienststeuerung (SCPs). SCPs sind Richtlinien, die Sie an Elemente in einer Organisation anhängen, um Berechtigungen innerhalb dieser Organisation zu verwalten. Ein SCP gilt für alle AWS-Konten Unterkategorien des Elements, an das Sie den SCP anhängen. SCPs bieten eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für alle Konten in Ihrer Organisation. Sie können Ihnen dabei helfen, sicherzustellen, dass Sie die Richtlinien Ihrer Organisation für die Zugriffskontrolle einhalten. AWS-Konten Weitere Informationen finden Sie unter Service-Kontrollrichtlinien im AWS Organizations -Benutzerhandbuch.
Voraussetzungen
Um sie verwenden zu können SCPs, müssen Sie zunächst wie folgt vorgehen:
-
Aktivieren aller Funktionen in der Organisation. Weitere Informationen finden Sie im AWS Organizations Benutzerhandbuch unter Alle Funktionen in Ihrer Organisation aktivieren
-
SCPs Für die Verwendung in Ihrer Organisation aktivieren. Weitere Informationen finden Sie im AWS Organizations Benutzerhandbuch unter Richtlinientypen aktivieren und deaktivieren
-
Erstellen Sie das SCPs , was Sie benötigen. Weitere Informationen zum Erstellen SCPs finden Sie unter Erstellen und Aktualisieren SCPs im AWS Organizations Benutzerhandbuch.
Beispiel für Service-Kontrollrichtlinien
Inhalt
In den folgenden Beispielen wird veranschaulicht, wie Sie verschiedene Aspekte der Ressourcenfreigabe in einer Organisation steuern können.
Beispiel 1: Externes Teilen verhindern
Das folgende SCP verhindert, dass Benutzer Ressourcenfreigaben erstellen, die die gemeinsame Nutzung mit Prinzipalen ermöglichen, die sich außerhalb der Organisation des gemeinsam genutzten Benutzers befinden.
AWS RAM autorisiert APIs separat für jeden Prinzipal und jede Ressource, die im Anruf aufgeführt sind.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
]
}Beispiel 2: Verhindern Sie, dass Benutzer Einladungen zur gemeinsamen Nutzung von Ressourcen von externen Konten außerhalb Ihrer Organisation annehmen
Der folgende SCP verhindert, dass alle Benutzer in einem betroffenen Konto eine Einladung zur Nutzung eines Resource Shares annehmen. Ressourcenfreigaben, die für andere Konten in derselben Organisation wie das Sharing-Konto gemeinsam genutzt werden, generieren keine Einladungen und sind daher von diesem SCP nicht betroffen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ram:AcceptResourceShareInvitation",
"Resource": "*"
}
]
}Beispiel 3: Erlauben Sie bestimmten Konten, bestimmte Ressourcentypen gemeinsam zu nutzen
Das folgende SCP erlaubt nur Konten 111111111111 und 222222222222 das Erstellen neuer Ressourcenfreigaben, die EC2 Amazon-Präfixlisten gemeinsam nutzen, oder das Zuordnen von Präfixlisten zu bestehenden Ressourcenfreigaben.
AWS RAM autorisiert APIs separat für jeden Principal und jede Ressource, die im Call aufgeführt sind.
Der Operator StringEqualsIfExists lässt eine Anfrage zu, wenn entweder die Anforderung keinen Ressourcentypparameter enthält oder wenn sie diesen Parameter enthält, wenn sein Wert genau dem angegebenen Ressourcentyp entspricht. Wenn Sie einen Schulleiter einbeziehen, müssen Sie ihn haben...IfExists.
Weitere Informationen darüber, wann und warum ...IfExists Operatoren verwendet werden sollten, finden Sie unter... IfExists Bedingungsoperatoren im IAM-Benutzerhandbuch.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
},
"StringEqualsIfExists": {
"ram:RequestedResourceType": "ec2:PrefixList"
}
}
}
]
}Beispiel 4: Verhindern Sie die gemeinsame Nutzung mit der gesamten Organisation oder mit Organisationseinheiten
Das folgende SCP verhindert, dass Benutzer Ressourcenfreigaben erstellen, die Ressourcen mit einer gesamten Organisation oder mit beliebigen Organisationseinheiten gemeinsam nutzen. Benutzer können Daten mit einzelnen Personen AWS-Konten in der Organisation oder mit IAM-Rollen oder -Benutzern teilen.
AWS RAM autorisiert APIs separat für jeden Prinzipal und jede Ressource, die im Call aufgeführt sind.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:organization/*",
"arn:aws:organizations::*:ou/*"
]
}
}
}
]
}Beispiel 5: Erlaube die gemeinsame Nutzung nur mit bestimmten Principals
Das folgende Beispiel mit SCP ermöglicht es Benutzern, Ressourcen nur mit der o-12345abcdef, Organisationseinheit ou-98765fedcba der Organisation und gemeinsam zu nutzen. AWS-Konto
111111111111
Wenn Sie beispielsweise ein "Effect": "Deny" Element mit einem negierten Bedingungsoperator verwenden, wird die Anfrage trotzdem abgelehntStringNotEqualsIfExists, auch wenn der Bedingungsschlüssel nicht vorhanden ist. Verwenden Sie einen Bedingungsoperator Null, um zu prüfen, ob ein Bedingungsschlüssel zum Zeitpunkt der Autorisierung abwesend ist.
AWS RAM autorisiert APIs separat für jeden Prinzipal und jede Ressource, die im Call aufgeführt sind.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": [
"arn:aws:organizations::123456789012:organization/o-12345abcdef",
"arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
"111111111111"
]
},
"Null": {
"ram:Principal": "false"
}
}
}
]
}