Exemplo de SCPs para o AWS Resource Access Manager - AWS Organizations
Evitar compartilhamento externo Permitir que contas específicas compartilhem apenas tipos de recursos especificados Evitar o compartilhamento com organizações ou unidades organizacionais (UOs) Permitir o compartilhamento com apenas usuários e funções do IAM especificados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplo de SCPs para o AWS Resource Access Manager

Evitar compartilhamento externo

O exemplo a seguir, a SCP impede que os usuários criem compartilhamentos de recursos que permitem o compartilhamento com usuários e funções do IAM que não fazem parte da organização.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}

Permitir que contas específicas compartilhem apenas tipos de recursos especificados

A SCP a seguir permite que contas 111111111111 e 222222222222 criem compartilhamentos de recursos que compartilham listas de prefixos e associar listas de prefixos a compartilhamentos de recursos existentes.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OnlyNamedAccountsCanSharePrefixLists",
            "Effect": "Allow",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEquals": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}

Evitar o compartilhamento com organizações ou unidades organizacionais (UOs)

A SCP a seguir impede que os usuários criem compartilhamentos de recursos que compartilham recursos com uma organização ou UOs.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}

Permitir o compartilhamento com apenas usuários e funções do IAM especificados

O exemplo a seguir, a SCP permite que os usuários compartilhem recursos apenas com organização o-12345abcdef, unidade organizacionalou-98765fedcba, e conta 111111111111.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringNotEquals": {
                    "ram:Principal": [
                        "arn:aws:organizations::123456789012:organization/o-12345abcdef",
                        "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
                        "111111111111"
                    ]
                }
            }
        }
    ]
}