Impedire la condivisione esterna Consentire ad account specifici di condividere solo tipi di risorse specificati Impedisci la condivisione con organizzazioni o unità organizzative () OUs Consenti la condivisione solo con IAM utenti e ruoli specifici

Esempio SCPs per AWS Resource Access Manager

Argomenti

Impedire la condivisione esterna
Consentire ad account specifici di condividere solo tipi di risorse specificati
Impedisci la condivisione con organizzazioni o unità organizzative () OUs
Consenti la condivisione solo con IAM utenti e ruoli specifici

Impedire la condivisione esterna

L'esempio seguente SCP impedisce agli utenti di creare condivisioni di risorse che consentano la condivisione con IAM utenti e ruoli che non fanno parte dell'organizzazione.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}

Consentire ad account specifici di condividere solo tipi di risorse specificati

Quanto segue SCP consente di 222222222222 creare account 111111111111 e condivisioni di risorse che condividono elenchi di prefissi e di associare elenchi di prefissi a condivisioni di risorse esistenti.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OnlyNamedAccountsCanSharePrefixLists",
            "Effect": "Allow",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEquals": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}

Impedisci la condivisione con organizzazioni o unità organizzative () OUs

Quanto segue SCP impedisce agli utenti di creare condivisioni di risorse che condividono risorse con un'organizzazione oOUs.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}

Consenti la condivisione solo con IAM utenti e ruoli specifici

L'esempio seguente SCP consente agli utenti di condividere risorse solo con l'organizzazioneo-12345abcdef, l'unità ou-98765fedcba organizzativa e l'account111111111111.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringNotEquals": {
                    "ram:Principal": [
                        "arn:aws:organizations::123456789012:organization/o-12345abcdef",
                        "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
                        "111111111111"
                    ]
                }
            }
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Amazon GuardDuty

ARC