Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques de contrôle des services pour AWS Organizations et AWS RAM
AWS RAM prend en charge les politiques de contrôle des services (SCP). Les SCP sont des politiques que vous attachez aux éléments d'une organisation pour gérer les autorisations au sein de cette organisation. Un SCP s'applique à tout ce qui se Comptes AWS trouve sous l'élément auquel vous attachez le SCP. Les politiques de contrôle des services (SCP) offrent un contrôle central sur les autorisations maximales disponibles pour tous les comptes de votre organisation. Ils peuvent vous aider à garantir le respect Comptes AWS des directives de contrôle d'accès de votre organisation. Pour plus d'informations, consultez la section Politiques de contrôle de service du Guide de l'utilisateur AWS Organizations .
Prérequis
Procédez comme suit pour utiliser les SCP :
-
Activez toutes les fonctions de votre organisation. Pour plus d'informations, consultez la section Activation de toutes les fonctionnalités de votre organisation dans le guide de AWS Organizations l'utilisateur
-
Activez les SCP au sein de votre organisation. Pour plus d'informations, consultez la section Activation et désactivation des types de politiques dans le guide de l'AWS Organizations utilisateur
-
Créez les SCP dont vous avez besoin. Pour plus d'informations sur la création de SCP, voir Création et mise à jour de SCP dans le guide de l'AWS Organizations utilisateur.
Exemples de politiques de contrôle des services
Table des matières
- Exemple 1 : empêcher le partage externe
- Exemple 2 : Empêcher les utilisateurs d'accepter des invitations à partager des ressources provenant de comptes externes à votre organisation
- Exemple 3 : Autoriser des comptes spécifiques à partager des types de ressources spécifiques
- Exemple 4 : empêcher le partage avec l'ensemble de l'organisation ou avec des unités organisationnelles
- Exemple 5 : autoriser le partage uniquement avec des principaux spécifiques
Les exemples suivants montrent comment contrôler les différents aspects liés au partage des ressources dans une organisation.
Exemple 1 : empêcher le partage externe
Le SCP suivant empêche les utilisateurs de créer des partages de ressources qui autorisent le partage avec des responsables extérieurs à l'organisation de l'utilisateur qui partage les ressources.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:UpdateResourceShare" ], "Resource": "*", "Condition": { "Bool": { "ram:RequestedAllowsExternalPrincipals": "true" } } } ] }
Exemple 2 : Empêcher les utilisateurs d'accepter des invitations à partager des ressources provenant de comptes externes à votre organisation
Le SCP suivant empêche tout principal d'un compte concerné d'accepter une invitation à utiliser un partage de ressources. Les partages de ressources partagés avec d'autres comptes de la même organisation que le compte de partage ne génèrent pas d'invitations et ne sont donc pas affectés par ce SCP.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ram:AcceptResourceShareInvitation", "Resource": "*" } ] }
Exemple 3 : Autoriser des comptes spécifiques à partager des types de ressources spécifiques
Le SCP suivant autorise uniquement les comptes 111111111111
et permet de 222222222222
créer de nouveaux partages de ressources qui partagent des listes de préfixes Amazon EC2 ou d'associer des listes de préfixes à des partages de ressources existants.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ram:AssociateResourceShare", "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalAccount": [ "111111111111", "222222222222" ] }, "StringEqualsIfExists": { "ram:RequestedResourceType": "ec2:PrefixList" } } } ] }
Exemple 4 : empêcher le partage avec l'ensemble de l'organisation ou avec des unités organisationnelles
Le SCP suivant empêche les utilisateurs de créer des partages de ressources qui partagent des ressources avec l'ensemble d'une organisation ou avec des unités organisationnelles. Les utilisateurs peuvent partager avec un membre Comptes AWS de l'organisation, ou avec des rôles ou des utilisateurs IAM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare" ], "Resource": "*", "Condition": { "StringLike": { "ram:Principal": [ "arn:aws:organizations::*:organization/*", "arn:aws:organizations::*:ou/*" ] } } } ] }
Exemple 5 : autoriser le partage uniquement avec des principaux spécifiques
L'exemple de SCP suivant permet aux utilisateurs de partager des ressources uniquement avec l'unité o-12345abcdef,
organisationnelle de l'organisationou-98765fedcba
, et Compte AWS
111111111111
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ram:AssociateResourceShare", "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringNotEquals": { "ram:Principal": [ "arn:aws:organizations::123456789012:organization/o-12345abcdef", "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba", "111111111111" ] }, "Null": { "ram:Principal": "false" } } } ] }