Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Esempi di politiche di controllo dei servizi per AWS Organizations e AWS RAM
AWS RAM supporta le politiche di controllo del servizio (SCPs). SCPs sono politiche che allegate agli elementi di un'organizzazione per gestire le autorizzazioni all'interno di tale organizzazione. Un SCP si applica a tutti gli elementi Account AWS [inclusi nell'elemento a cui si collega l'](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html)SCP. SCPs offrite il controllo centralizzato sulle autorizzazioni massime disponibili per tutti gli account della vostra organizzazione. Possono aiutarvi a garantire che rispettiate le Account AWS linee guida per il controllo degli accessi della vostra organizzazione. Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) nella *Guida per l'utente di AWS Organizations *.
## Prerequisiti
Per utilizzarlo SCPs, devi prima fare quanto segue:
+ Abilitazione di tutte le caratteristiche nell'organizzazione. Per ulteriori informazioni, vedere [Abilitazione di tutte le funzionalità dell'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) nella *Guida AWS Organizations per l'utente*
+ Abilita SCPs per l'uso all'interno della tua organizzazione. Per ulteriori informazioni, vedere [Abilitazione e disabilitazione dei tipi di policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html) nella Guida per l'*AWS Organizations utente*
+ Crea quello SCPs che ti serve. Per ulteriori informazioni sulla creazione SCPs, consulta [Creazione e aggiornamento SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html) nella *Guida AWS Organizations per l'utente*.
## Policy di controllo dei servizi di esempio
**Contents**
+ [Esempio 1: Impedire la condivisione esterna](#example-one)
+ [Esempio 2: Impedisci agli utenti di accettare inviti alla condivisione di risorse da account esterni all'organizzazione](#example-two)
+ [Esempio 3: consentire ad account specifici di condividere tipi di risorse specifici](#example-three)
+ [Esempio 4: Impedire la condivisione con l'intera organizzazione o con le unità organizzative](#example-four)
+ [Esempio 5: consenti la condivisione solo con principali specifici](#example-five)
+ [Esempio 6: Impedisci la condivisione delle risorse se abilitato RetainSharingOnAccountLeaveOrganization](#example-six)
Di seguito sono riportati alcuni esempi che mostrano come controllare vari aspetti della condivisione delle risorse in un'organizzazione.
### Esempio 1: Impedire la condivisione esterna
Il seguente SCP impedisce agli utenti di creare condivisioni di risorse che consentano la condivisione con responsabili esterni all'organizzazione dell'utente che condivide.
AWS RAM autorizza APIs separatamente per ogni principale e risorsa elencati nella chiamata.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
]
}
```
------
### Esempio 2: Impedisci agli utenti di accettare inviti alla condivisione di risorse da account esterni all'organizzazione
Il seguente SCP impedisce a qualsiasi principale di un account interessato di accettare un invito a utilizzare una condivisione di risorse. Le condivisioni di risorse condivise con altri account della stessa organizzazione dell'account di condivisione non generano inviti e pertanto non sono interessate da questo SCP.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ram:AcceptResourceShareInvitation",
"Resource": "*"
}
]
}
```
------
### Esempio 3: consentire ad account specifici di condividere tipi di risorse specifici
Il seguente SCP consente *solo* di `222222222222` creare account `111111111111` e nuove condivisioni di risorse che condividono elenchi di prefissi Amazon EC2 o di associare elenchi di prefissi a condivisioni di risorse esistenti.
AWS RAM autorizza APIs separatamente per ogni principale e risorsa elencati nella chiamata.
L'operatore `StringEqualsIfExists` consente una richiesta se la richiesta non include un parametro del tipo di risorsa o, se include quel parametro, se il suo valore corrisponde esattamente al tipo di risorsa specificato. Se stai includendo un preside devi averlo`...IfExists`.
Per ulteriori informazioni su quando e perché utilizzare `...IfExists` gli operatori, consulta[... IfExists condition operator](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) nella *IAM User Guide*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
},
"StringEqualsIfExists": {
"ram:RequestedResourceType": "ec2:PrefixList"
}
}
}
]
}
```
------
### Esempio 4: Impedire la condivisione con l'intera organizzazione o con le unità organizzative
Il seguente SCP impedisce agli utenti di creare condivisioni di risorse che condividano risorse con un'intera organizzazione o con qualsiasi unità organizzativa. Gli utenti *possono* condividerle con singoli Account AWS membri dell'organizzazione o con ruoli o utenti IAM.
AWS RAM autorizza APIs separatamente per ogni principale e risorsa elencati nella chiamata.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:organization/*",
"arn:aws:organizations::*:ou/*"
]
}
}
}
]
}
```
------
### Esempio 5: consenti la condivisione solo con principali specifici
L'esempio seguente SCP consente agli utenti di condividere risorse *solo* con l'unità `o-12345abcdef,` `ou-98765fedcba` organizzativa dell'organizzazione e. Account AWS `111111111111`
Se si utilizza un `"Effect": "Deny"` elemento con un operatore di condizione negata, ad esempio`StringNotEqualsIfExists`, la richiesta viene comunque negata anche se la chiave di condizione non è presente. Utilizza un operatore di condizione `Null` per verificare se una chiave di condizione è presente o meno al momento dell'autorizzazione.
AWS RAM autorizza APIs separatamente per ogni principale e risorsa elencati nella chiamata.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": [
"arn:aws:organizations::123456789012:organization/o-12345abcdef",
"arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
"111111111111"
]
},
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
### Esempio 6: Impedisci la condivisione delle risorse se abilitato RetainSharingOnAccountLeaveOrganization
Il seguente SCP impedisce agli utenti di creare o modificare condivisioni di risorse quando la chiave di `ram:RetainSharingOnAccountLeaveOrganization` condizione è impostata su. `true`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare",
"ram:DisassociateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RetainSharingOnAccountLeaveOrganization": "true"
}
}
}
]
}
```