AWS Organizations 및 에 대한 서비스 제어 정책 예제 AWS RAM

AWS RAM 는 서비스 제어 정책()을 지원합니다SCPs. SCPs 는 조직 내의 권한을 관리하기 위해 조직의 요소에 연결하는 정책입니다. 는 를 AWS 계정 연결하는 요소의 모든 에 SCP SCP 적용됩니다. SCPs 는 조직의 모든 계정에 대해 사용 가능한 최대 권한에 대한 중앙 제어를 제공합니다. 조직의 액세스 제어 지침을 AWS 계정 준수하는 데 도움이 될 수 있습니다. 자세한 내용은AWS Organizations 사용 설명서의 서비스 제어 정책을 참조하세요.

사전 조건

를 사용하려면 먼저 다음을 수행해야 SCPs합니다.

조직 내에서 모든 기능을 활성화합니다. 자세한 내용은AWS Organizations 사용 설명서에서 조직 내 모든 기능 활성화를 참조하세요.
조직 내에서 SCPs를 사용하도록 활성화합니다. 자세한 내용은AWS Organizations 사용 설명서에서 정책 유형 활성화 및 비활성화를 참조하세요.
필요한 SCPs 를 생성합니다. 생성에 대한 자세한 내용은 AWS Organizations 사용 설명서의 생성 및 업데이트를 SCPs SCPs참조하세요.

예제 서비스 제어 정책

예 1: 외부 공유 금지

다음은 사용자가 공유 사용자의 조직 외부에 있는 보안 주체와 공유할 수 있는 리소스 공유를 생성하는 것을 SCP 방지합니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}

예 2: 사용자가 조직 외부의 외부 계정으로부터 받은 리소스 공유 초대를 수락하지 못하도록 방지

다음은 영향을 받는 계정의 보안 주체가 리소스 공유 사용 초대를 수락하는 것을 SCP 차단합니다. 공유 계정과 동일한 조직의 다른 계정에 공유되는 리소스 공유는 초대를 생성하지 않으므로 이 의 영향을 받지 않습니다SCP.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ram:AcceptResourceShareInvitation",
            "Resource": "*"
        }
    ]
}

예 3: 특정 계정에서 특정 리소스 유형 공유 허용

다음은 계정 111111111111 및 만 Amazon EC2 접두사 목록을 공유하는 새 리소스 공유를 222222222222 생성하거나 접두사 목록을 기존 리소스 공유와 연결할 수 있도록 SCP 허용합니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEqualsIfExists": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}

예 4: 전체 조직 또는 조직 단위와의 공유 금지

다음은 사용자가 전체 조직 또는 모든 조직 단위와 리소스를 공유하는 리소스 공유를 생성하는 것을 SCP 방지합니다. 사용자는 AWS 계정 조직의 개인 또는 IAM 역할 또는 사용자와 공유할 수 있습니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}

예 5: 특정 보안 주체와만 공유 허용

다음 예제에서는 사용자가 조직 o-12345abcdef, 조직 단위 ou-98765fedcba, 및 AWS 계정 와만 리소스를 공유할 수 있도록 SCP 허용합니다111111111111.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ram:AssociateResourceShare",
        "ram:CreateResourceShare"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "ram:Principal": [
            "arn:aws:organizations::123456789012:organization/o-12345abcdef",
            "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
            "111111111111"
          ]
        },
        "Null": {
          "ram:Principal": "false"
        }
      }
    }
  ]
}

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

예제 IAM 정책

Organizations와의 공유 비활성화