Prérequis Exemples de politiques de contrôle des services

Exemples de politiques de contrôle des services pour AWS Organizations et AWS RAM

AWS RAM prend en charge les politiques de contrôle des services (SCP). Les SCP sont des politiques que vous attachez aux éléments d'une organisation pour gérer les autorisations au sein de cette organisation. Un SCP s'applique à tout ce qui se Comptes AWS trouve sous l'élément auquel vous attachez le SCP. Les politiques de contrôle des services (SCP) offrent un contrôle central sur les autorisations maximales disponibles pour tous les comptes de votre organisation. Ils peuvent vous aider à garantir le respect Comptes AWS des directives de contrôle d'accès de votre organisation. Pour plus d'informations, consultez la section Politiques de contrôle de service du Guide de l'utilisateur AWS Organizations .

Prérequis

Procédez comme suit pour utiliser les SCP :

Activez toutes les fonctions de votre organisation. Pour plus d'informations, consultez la section Activation de toutes les fonctionnalités de votre organisation dans le guide de AWS Organizations l'utilisateur
Activez les SCP au sein de votre organisation. Pour plus d'informations, consultez la section Activation et désactivation des types de politiques dans le guide de l'AWS Organizations utilisateur
Créez les SCP dont vous avez besoin. Pour plus d'informations sur la création de SCP, voir Création et mise à jour de SCP dans le guide de l'AWS Organizations utilisateur.

Exemples de politiques de contrôle des services

Table des matières

Les exemples suivants montrent comment contrôler les différents aspects liés au partage des ressources dans une organisation.

Exemple 1 : empêcher le partage externe

Le SCP suivant empêche les utilisateurs de créer des partages de ressources qui autorisent le partage avec des responsables extérieurs à l'organisation de l'utilisateur qui partage les ressources.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}

Exemple 2 : Empêcher les utilisateurs d'accepter des invitations à partager des ressources provenant de comptes externes à votre organisation

Le SCP suivant empêche tout principal d'un compte concerné d'accepter une invitation à utiliser un partage de ressources. Les partages de ressources partagés avec d'autres comptes de la même organisation que le compte de partage ne génèrent pas d'invitations et ne sont donc pas affectés par ce SCP.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ram:AcceptResourceShareInvitation",
            "Resource": "*"
        }
    ]
}

Exemple 3 : Autoriser des comptes spécifiques à partager des types de ressources spécifiques

Le SCP suivant autorise uniquement les comptes 111111111111 et permet de 222222222222 créer de nouveaux partages de ressources qui partagent des listes de préfixes Amazon EC2 ou d'associer des listes de préfixes à des partages de ressources existants.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEqualsIfExists": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}

Exemple 4 : empêcher le partage avec l'ensemble de l'organisation ou avec des unités organisationnelles

Le SCP suivant empêche les utilisateurs de créer des partages de ressources qui partagent des ressources avec l'ensemble d'une organisation ou avec des unités organisationnelles. Les utilisateurs peuvent partager avec un membre Comptes AWS de l'organisation, ou avec des rôles ou des utilisateurs IAM.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}

Exemple 5 : autoriser le partage uniquement avec des principaux spécifiques

L'exemple de SCP suivant permet aux utilisateurs de partager des ressources uniquement avec l'unité o-12345abcdef, organisationnelle de l'organisationou-98765fedcba, et Compte AWS 111111111111.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ram:AssociateResourceShare",
        "ram:CreateResourceShare"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "ram:Principal": [
            "arn:aws:organizations::123456789012:organization/o-12345abcdef",
            "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
            "111111111111"
          ]
        },
        "Null": {
          "ram:Principal": "false"
        }
      }
    }
  ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Exemple de politiques IAM

Désactiver le partage avec les Organisations