Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Contoh kebijakan kontrol layanan untuk AWS Organizations dan AWS RAM
AWS RAM mendukung kebijakan kontrol layanan (SCPs). SCPs adalah kebijakan yang Anda lampirkan ke elemen dalam organisasi untuk mengelola izin dalam organisasi tersebut. SCP berlaku untuk semua Akun AWS [di bawah elemen yang Anda lampirkan SCP](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html). SCPs menawarkan kontrol pusat atas izin maksimum yang tersedia untuk semua akun di organisasi Anda. Mereka dapat membantu Anda memastikan Anda Akun AWS tetap berada dalam pedoman kontrol akses organisasi Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) di *Panduan AWS Organizations Pengguna*.
## Prasyarat
Untuk menggunakannya SCPs, Anda harus terlebih dahulu melakukan hal berikut:
+ Aktifkan semua fitur di organisasi Anda. Untuk informasi selengkapnya, lihat [Mengaktifkan semua fitur di organisasi Anda](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) di *AWS Organizations Panduan Pengguna*
+ Aktifkan SCPs untuk digunakan dalam organisasi Anda. *Untuk informasi selengkapnya, lihat [Mengaktifkan dan menonaktifkan jenis kebijakan di Panduan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html) Pengguna AWS Organizations *
+ Buat SCPs yang Anda butuhkan. Untuk informasi selengkapnya tentang membuat SCPs, lihat [Membuat dan memperbarui SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html) di *Panduan AWS Organizations Pengguna*.
## Contoh Kebijakan Kontrol Layanan
**Contents**
+ [Contoh 1: Mencegah berbagi eksternal](#example-one)
+ [Contoh 2: Mencegah pengguna menerima undangan berbagi sumber daya dari akun eksternal di luar organisasi Anda](#example-two)
+ [Contoh 3: Izinkan akun tertentu untuk berbagi jenis sumber daya tertentu](#example-three)
+ [Contoh 4: Mencegah berbagi dengan seluruh organisasi atau dengan unit organisasi](#example-four)
+ [Contoh 5: Izinkan berbagi hanya dengan prinsipal tertentu](#example-five)
+ [Contoh 6: Mencegah pembagian sumber daya dengan RetainSharingOnAccountLeaveOrganization diaktifkan](#example-six)
Contoh berikut menunjukkan bagaimana Anda dapat mengontrol berbagai aspek berbagi sumber daya dalam suatu organisasi.
### Contoh 1: Mencegah berbagi eksternal
SCP berikut mencegah pengguna membuat pembagian sumber daya yang memungkinkan berbagi dengan prinsipal yang berada di luar organisasi pengguna berbagi.
AWS RAM mengotorisasi APIs secara terpisah untuk setiap prinsipal dan sumber daya yang tercantum dalam panggilan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
]
}
```
------
### Contoh 2: Mencegah pengguna menerima undangan berbagi sumber daya dari akun eksternal di luar organisasi Anda
SCP berikut memblokir setiap prinsipal di akun yang terpengaruh agar tidak menerima undangan untuk menggunakan pembagian sumber daya. Pembagian sumber daya yang dibagikan ke akun lain di organisasi yang sama dengan akun berbagi tidak menghasilkan undangan dan karenanya tidak terpengaruh oleh SCP ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ram:AcceptResourceShareInvitation",
"Resource": "*"
}
]
}
```
------
### Contoh 3: Izinkan akun tertentu untuk berbagi jenis sumber daya tertentu
SCP berikut *hanya* mengizinkan akun `111111111111` dan `222222222222` membuat pembagian sumber daya baru yang berbagi daftar awalan Amazon EC2 atau untuk mengaitkan daftar awalan dengan pembagian sumber daya yang ada.
AWS RAM mengotorisasi APIs secara terpisah untuk setiap prinsipal dan sumber daya yang tercantum dalam panggilan.
Operator `StringEqualsIfExists` mengizinkan permintaan jika permintaan tidak menyertakan parameter tipe sumber daya, atau jika menyertakan parameter itu, nilainya sama persis dengan jenis sumber daya yang ditentukan. Jika Anda termasuk kepala sekolah, Anda harus memilikinya`...IfExists`.
Untuk informasi selengkapnya tentang kapan dan mengapa menggunakan `...IfExists` operator, lihat[... IfExists operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) di *Panduan Pengguna IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
},
"StringEqualsIfExists": {
"ram:RequestedResourceType": "ec2:PrefixList"
}
}
}
]
}
```
------
### Contoh 4: Mencegah berbagi dengan seluruh organisasi atau dengan unit organisasi
SCP berikut mencegah pengguna membuat pembagian sumber daya yang berbagi sumber daya dengan seluruh organisasi atau dengan unit organisasi apa pun. Pengguna *dapat* berbagi dengan individu Akun AWS dalam organisasi, atau dengan peran IAM atau pengguna.
AWS RAM mengotorisasi APIs secara terpisah untuk setiap prinsipal dan sumber daya yang tercantum dalam panggilan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:organization/*",
"arn:aws:organizations::*:ou/*"
]
}
}
}
]
}
```
------
### Contoh 5: Izinkan berbagi hanya dengan prinsipal tertentu
Contoh SCP berikut memungkinkan pengguna untuk berbagi sumber daya dengan *hanya* unit organisasi `o-12345abcdef,` organisasi`ou-98765fedcba`, dan Akun AWS `111111111111`.
Jika Anda menggunakan `"Effect": "Deny"` elemen dengan operator kondisi yang dinegasikan`StringNotEqualsIfExists`, seperti, permintaan masih ditolak meskipun kunci kondisi tidak ada. Gunakan operator `Null` kondisi untuk memeriksa apakah kunci kondisi tidak ada pada saat otorisasi.
AWS RAM mengotorisasi APIs secara terpisah untuk setiap prinsipal dan sumber daya yang tercantum dalam panggilan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": [
"arn:aws:organizations::123456789012:organization/o-12345abcdef",
"arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
"111111111111"
]
},
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
### Contoh 6: Mencegah pembagian sumber daya dengan RetainSharingOnAccountLeaveOrganization diaktifkan
SCP berikut mencegah pengguna membuat atau memodifikasi pembagian sumber daya saat kunci `ram:RetainSharingOnAccountLeaveOrganization` kondisi disetel ke. `true`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare",
"ram:DisassociateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RetainSharingOnAccountLeaveOrganization": "true"
}
}
}
]
}
```