Exemplo SCPs para AWS Resource Access Manager - AWS Organizations
Evitar compartilhamento externo Permitir que contas específicas compartilhem apenas tipos de recursos especificados Impedir o compartilhamento com organizações ou unidades organizacionais (OUs) Permitir o compartilhamento somente com IAM usuários e funções especificados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplo SCPs para AWS Resource Access Manager

Evitar compartilhamento externo

O exemplo a seguir SCP impede que os usuários criem compartilhamentos de recursos que permitem o compartilhamento com IAM usuários e funções que não fazem parte da organização.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}

Permitir que contas específicas compartilhem apenas tipos de recursos especificados

O seguinte SCP permite contas 111111111111 e 222222222222 a criação de compartilhamentos de recursos que compartilham listas de prefixos e associam listas de prefixos a compartilhamentos de recursos existentes.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OnlyNamedAccountsCanSharePrefixLists",
            "Effect": "Allow",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEquals": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}

Impedir o compartilhamento com organizações ou unidades organizacionais (OUs)

O seguinte SCP impede que os usuários criem compartilhamentos de recursos que compartilhem recursos com uma organização ouOUs.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}

Permitir o compartilhamento somente com IAM usuários e funções especificados

O exemplo a seguir SCP permite que os usuários compartilhem recursos somente com a organizaçãoo-12345abcdef, a unidade ou-98765fedcba organizacional e a conta111111111111.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringNotEquals": {
                    "ram:Principal": [
                        "arn:aws:organizations::123456789012:organization/o-12345abcdef",
                        "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
                        "111111111111"
                    ]
                }
            }
        }
    ]
}