Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Exemples de politiques de contrôle des services pour AWS Organizations et AWS RAM
<a name="security-scp"></a>

AWS RAM prend en charge les politiques de contrôle des services (SCPs). SCPs sont des politiques que vous associez aux éléments d'une organisation pour gérer les autorisations au sein de cette organisation. Un SCP s'applique à tout ce qui se Comptes AWS [trouve sous l'élément auquel vous attachez le SCP](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html). SCPs offrez un contrôle centralisé sur le maximum d'autorisations disponibles pour tous les comptes de votre organisation. Ils peuvent vous aider à garantir le respect Comptes AWS des directives de contrôle d'accès de votre organisation. Pour plus d'informations, consultez la section [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) du *Guide de l'utilisateur AWS Organizations *.

## Conditions préalables
<a name="scp-prereqs"></a>

Pour l'utiliser SCPs, vous devez d'abord effectuer les opérations suivantes :
+ Activez toutes les fonctions de votre organisation. Pour plus d'informations, consultez la section [Activation de toutes les fonctionnalités de votre organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) dans le *guide de AWS Organizations l'utilisateur*
+ Activez SCPs pour une utilisation au sein de votre organisation. Pour plus d'informations, consultez la section [Activation et désactivation des types de politiques](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html) dans le guide de l'*AWS Organizations utilisateur*
+ Créez SCPs ce dont vous avez besoin. Pour plus d'informations sur la création SCPs, voir [Création et mise à jour SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html) dans le *Guide de AWS Organizations l'utilisateur*.

## Exemples de politiques de contrôle des services
<a name="scp-examples"></a>

**Contents**
+ [Exemple 1 : empêcher le partage externe](#example-one)
+ [Exemple 2 : Empêcher les utilisateurs d'accepter des invitations à partager des ressources provenant de comptes externes à votre organisation](#example-two)
+ [Exemple 3 : Autoriser des comptes spécifiques à partager des types de ressources spécifiques](#example-three)
+ [Exemple 4 : empêcher le partage avec l'ensemble de l'organisation ou avec des unités organisationnelles](#example-four)
+ [Exemple 5 : autoriser le partage uniquement avec des principaux spécifiques](#example-five)
+ [Exemple 6 : Empêcher les partages de ressources lorsque RetainSharingOnAccountLeaveOrganization cette option est activée](#example-six)

Les exemples suivants montrent comment contrôler les différents aspects liés au partage des ressources dans une organisation.

### Exemple 1 : empêcher le partage externe
<a name="example-one"></a>

Le SCP suivant empêche les utilisateurs de créer des partages de ressources qui autorisent le partage avec des responsables extérieurs à l'organisation de l'utilisateur qui partage les ressources.

AWS RAM autorise APIs séparément pour chaque principal et chaque ressource répertoriés dans l'appel.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}
```

------

### Exemple 2 : Empêcher les utilisateurs d'accepter des invitations à partager des ressources provenant de comptes externes à votre organisation
<a name="example-two"></a>

Le SCP suivant empêche tout principal d'un compte concerné d'accepter une invitation à utiliser un partage de ressources. Les partages de ressources partagés avec d'autres comptes de la même organisation que le compte de partage ne génèrent pas d'invitations et ne sont donc pas affectés par ce SCP.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ram:AcceptResourceShareInvitation",
            "Resource": "*"
        }
    ]
}
```

------

### Exemple 3 : Autoriser des comptes spécifiques à partager des types de ressources spécifiques
<a name="example-three"></a>

Le SCP suivant autorise *uniquement* les comptes `111111111111` et permet de `222222222222` créer de nouveaux partages de ressources qui partagent des listes de préfixes Amazon EC2 ou d'associer des listes de préfixes à des partages de ressources existants.

AWS RAM autorise APIs séparément pour chaque principal et chaque ressource répertoriés dans l'appel.

L'opérateur `StringEqualsIfExists` autorise une demande si celle-ci n'inclut pas de paramètre de type de ressource ou si elle inclut ce paramètre, si sa valeur correspond exactement au type de ressource spécifié. Si vous incluez un directeur, vous devez en avoir un`...IfExists`. 

Pour plus d'informations sur quand et pourquoi utiliser des `...IfExists` opérateurs, voir[... IfExists opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) dans le *guide de l'utilisateur IAM*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEqualsIfExists": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}
```

------

### Exemple 4 : empêcher le partage avec l'ensemble de l'organisation ou avec des unités organisationnelles
<a name="example-four"></a>

Le SCP suivant empêche les utilisateurs de créer des partages de ressources qui partagent des ressources avec l'ensemble d'une organisation ou avec des unités organisationnelles. Les utilisateurs *peuvent* partager avec un membre Comptes AWS de l'organisation, ou avec des rôles ou des utilisateurs IAM.

AWS RAM autorise APIs séparément pour chaque principal et chaque ressource répertoriés dans l'appel.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}
```

------

### Exemple 5 : autoriser le partage uniquement avec des principaux spécifiques
<a name="example-five"></a>

L'exemple de SCP suivant permet aux utilisateurs de partager des ressources *uniquement* avec l'unité `o-12345abcdef,` organisationnelle de l'organisation`ou-98765fedcba`, et Compte AWS `111111111111`.

Si vous utilisez un `"Effect": "Deny"` élément avec un opérateur de condition annulé, par exemple`StringNotEqualsIfExists`, la demande est toujours refusée même si la clé de condition n'est pas présente. Utilisez un opérateur de condition `Null` pour vérifier si une clé de condition est absente au moment de l'autorisation.

AWS RAM autorise APIs séparément pour chaque principal et chaque ressource répertoriés dans l'appel.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ram:AssociateResourceShare",
        "ram:CreateResourceShare"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "ram:Principal": [
            "arn:aws:organizations::123456789012:organization/o-12345abcdef",
            "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
            "111111111111"
          ]
        },
        "Null": {
          "ram:Principal": "false"
        }
      }
    }
  ]
}
```

------

### Exemple 6 : Empêcher les partages de ressources lorsque RetainSharingOnAccountLeaveOrganization cette option est activée
<a name="example-six"></a>

Le SCP suivant empêche les utilisateurs de créer ou de modifier des partages de ressources lorsque la clé de `ram:RetainSharingOnAccountLeaveOrganization` condition est définie sur. `true`

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare",
                "ram:DisassociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RetainSharingOnAccountLeaveOrganization": "true"
                }
            }
        }
    ]
}
```