Exemple SCPs pour AWS Resource Access Manager - AWS Organizations
Empêcher le partage externe Autoriser des comptes spécifiques à partager uniquement des types de ressources spécifiés Empêcher le partage avec des organisations ou des unités organisationnelles (OUs) Autoriser le partage uniquement avec des IAM utilisateurs et des rôles spécifiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemple SCPs pour AWS Resource Access Manager

Empêcher le partage externe

L'exemple suivant SCP empêche les utilisateurs de créer des partages de ressources qui autorisent le partage avec des IAM utilisateurs et des rôles qui ne font pas partie de l'organisation.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}

Autoriser des comptes spécifiques à partager uniquement des types de ressources spécifiés

Ce qui suit SCP permet de créer des comptes 111111111111 et 222222222222 de créer des partages de ressources qui partagent des listes de préfixes et d'associer des listes de préfixes à des partages de ressources existants.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OnlyNamedAccountsCanSharePrefixLists",
            "Effect": "Allow",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEquals": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}

Empêcher le partage avec des organisations ou des unités organisationnelles (OUs)

Ce qui suit SCP empêche les utilisateurs de créer des partages de ressources qui partagent des ressources avec une organisation ouOUs.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}

Autoriser le partage uniquement avec des IAM utilisateurs et des rôles spécifiques

L'exemple suivant SCP permet aux utilisateurs de partager des ressources uniquement avec une organisation o-12345abcdefou-98765fedcba, une unité organisationnelle et un compte111111111111.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringNotEquals": {
                    "ram:Principal": [
                        "arn:aws:organizations::123456789012:organization/o-12345abcdef",
                        "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
                        "111111111111"
                    ]
                }
            }
        }
    ]
}