Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Ejemplos de políticas de control de servicios para AWS Organizations y AWS RAM
AWS RAM admite políticas de control de servicios (SCPs). SCPs son políticas que se adjuntan a los elementos de una organización para gestionar los permisos dentro de esa organización. Un SCP se aplica a todos los elementos Cuentas de AWS [incluidos en el elemento al que se adjunta el SCP](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html). SCPs ofrezca un control central sobre el máximo de permisos disponibles para todas las cuentas de su organización. Pueden ayudarlo a garantizar que se Cuentas de AWS mantenga dentro de las pautas de control de acceso de su organización. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) en la *Guía del usuario de AWS Organizations *.
## Requisitos previos
Para usarlo SCPs, primero debe hacer lo siguiente:
+ Habilitar todas las características en la organización. Para obtener más información, consulte [Habilitar todas las características en la organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) en la *Guía del usuario de AWS Organizations *.
+ Habilite SCPs su uso en su organización. Para obtener más información, consulte [Habilitar y deshabilitar tipos de políticas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html) en la *Guía del usuario de AWS Organizations *.
+ Cree lo SCPs que necesita. Para obtener más información sobre la creación SCPs, consulte [Creación y actualización SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html) en la *Guía del AWS Organizations usuario*.
## Ejemplo de políticas de control de servicios
**Contents**
+ [Ejemplo 1: Impedir la posibilidad de compartir externamente](#example-one)
+ [Ejemplo 2: Impedir que los usuarios acepten invitaciones a recursos compartidos desde cuentas externas a la organización](#example-two)
+ [Ejemplo 3: Permitir que determinadas cuentas compartan tipos de recursos específicos](#example-three)
+ [Ejemplo 4: Impedir que se comparta con toda la organización o con unidades organizativas](#example-four)
+ [Ejemplo 5: Permitir compartir solo con determinadas entidades principales](#example-five)
+ [Ejemplo 6: Impedir que se compartan recursos si está activado RetainSharingOnAccountLeaveOrganization](#example-six)
Los siguientes ejemplos le muestran cómo puede controlar varios aspectos del uso compartido de recursos en una organización.
### Ejemplo 1: Impedir la posibilidad de compartir externamente
La siguiente SCP evita que los usuarios puedan crear recursos compartidos que permitan compartir con entidades principales externas a la organización del usuario que comparte.
AWS RAM autoriza APIs por separado para cada principal y recurso enumerados en la convocatoria.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
]
}
```
------
### Ejemplo 2: Impedir que los usuarios acepten invitaciones a recursos compartidos desde cuentas externas a la organización
La siguiente SCP impide que cualquier entidad principal de una cuenta afectada acepte una invitación para usar un recurso compartido. Los recursos compartidos que se comparten con otras cuentas de la misma organización que la cuenta que los comparte no generan invitaciones y, por lo tanto, no se ven afectados por esta SCP.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ram:AcceptResourceShareInvitation",
"Resource": "*"
}
]
}
```
------
### Ejemplo 3: Permitir que determinadas cuentas compartan tipos de recursos específicos
La siguiente SCP permite que *solo* las cuentas `111111111111` y `222222222222` creen nuevos recursos compartidos que compartan listas de prefijos de Amazon EC2 o listas de prefijos asociadas con recursos compartidos existentes.
AWS RAM autoriza APIs por separado para cada principal y recurso enumerados en la llamada.
El operador `StringEqualsIfExists` permite una solicitud si la solicitud no incluye un parámetro de tipo de recurso o, si incluye ese parámetro, si su valor coincide exactamente con el tipo de recurso especificado. Si incluye una entidad principal, debe tener `...IfExists`.
[Para obtener más información sobre cuándo y por qué usar `...IfExists` operadores, consulte... IfExists condicione los operadores](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) en la *Guía del usuario de IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
},
"StringEqualsIfExists": {
"ram:RequestedResourceType": "ec2:PrefixList"
}
}
}
]
}
```
------
### Ejemplo 4: Impedir que se comparta con toda la organización o con unidades organizativas
La siguiente SCP impide que los usuarios creen recursos compartidos que compartan recursos con toda una organización o con cualquier unidad organizativa. Los usuarios *pueden* compartir con personas Cuentas de AWS de la organización o con roles o usuarios de IAM.
AWS RAM autoriza APIs por separado para cada principal y recurso enumerados en la llamada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:organization/*",
"arn:aws:organizations::*:ou/*"
]
}
}
}
]
}
```
------
### Ejemplo 5: Permitir compartir solo con determinadas entidades principales
La siguiente SCP de ejemplo permite a los usuarios compartir recursos *solo* una organización `o-12345abcdef,`, una unidad organizativa `ou-98765fedcba`, y una Cuenta de AWS `111111111111`.
Si utiliza un elemento `"Effect": "Deny"` con un operador de condición negada, como `StringNotEqualsIfExists`, la solicitud se seguirá denegando aunque la clave de condición no se encuentre presente. Utilice un operador de condición `Null` para comprobar si una clave de condición está ausente en el momento de la autorización.
AWS RAM autoriza APIs por separado para cada principal y recurso enumerados en la llamada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": [
"arn:aws:organizations::123456789012:organization/o-12345abcdef",
"arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
"111111111111"
]
},
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
### Ejemplo 6: Impedir que se compartan recursos si está activado RetainSharingOnAccountLeaveOrganization
El siguiente SCP impide que los usuarios creen o modifiquen recursos compartidos cuando la clave de `ram:RetainSharingOnAccountLeaveOrganization` condición está establecida en. `true`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare",
"ram:DisassociateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RetainSharingOnAccountLeaveOrganization": "true"
}
}
}
]
}
```