Pré-requisitos Políticas de controle de serviço de exemplo

Exemplos de políticas de controle de serviços para AWS Organizations e AWS RAM

AWS RAM suporta políticas de controle de serviço (SCPs). SCPssão políticas que você anexa a elementos em uma organização para gerenciar permissões dentro dessa organização. E SCP se aplica a tudo o que Contas da AWS está abaixo do elemento ao qual você anexa SCP o. SCPsofereça controle central sobre o máximo de permissões disponíveis para todas as contas em sua organização. Eles podem ajudar você a garantir sua Contas da AWS permanência dentro das diretrizes de controle de acesso da sua organização. Para obter mais informações, consulte Políticas de controle de serviço no Guia do usuário do AWS Organizations .

Pré-requisitos

Para usarSCPs, você deve primeiro fazer o seguinte:

Ativar todos os recursos em sua organização. Para obter mais informações, consulte Habilitar todos os recursos na sua organização no Guia do usuário do AWS Organizations .
Habilite SCPs para uso em sua organização. Para obter mais informações, consulte Habilitar e desabilitar tipos de política no Guia do usuário do AWS Organizations .
Crie o SCPs que você precisa. Para obter mais informações sobre criaçãoSCPs, consulte Criação e atualização SCPs no Guia AWS Organizations do usuário.

Políticas de controle de serviço de exemplo

Sumário

Os exemplos a seguir mostram como você pode controlar vários aspectos do compartilhamento de recursos em uma organização.

Exemplo 1: impedir compartilhamento externo

O seguinte SCP impede que os usuários criem compartilhamentos de recursos que permitam o compartilhamento com entidades que estão fora da organização do usuário de compartilhamento.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}

Exemplo 2: impedir que os usuários aceitem convites de compartilhamento de recursos de contas externas fora da sua organização

O seguinte SCP impede que qualquer principal em uma conta afetada aceite um convite para usar um compartilhamento de recursos. Os compartilhamentos de recursos que são compartilhados com outras contas na mesma organização da conta de compartilhamento não geram convites e, portanto, não são afetados por isso. SCP


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ram:AcceptResourceShareInvitation",
            "Resource": "*"
        }
    ]
}

Exemplo 3: permitir que contas específicas compartilhem apenas tipos de recursos especificados

O seguinte SCP permite somente contas 111111111111 e 222222222222 a criação de novos compartilhamentos de recursos que compartilhem listas de EC2 prefixos da Amazon ou associem listas de prefixos a compartilhamentos de recursos existentes.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEqualsIfExists": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}

Exemplo 4: evitar o compartilhamento com toda a organização ou com unidades organizacionais

O seguinte SCP impede que os usuários criem compartilhamentos de recursos que compartilhem recursos com uma organização inteira ou com qualquer unidade organizacional. Os usuários podem compartilhar com indivíduos Contas da AWS na organização ou com IAM funções ou usuários.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}

Exemplo 5: permitir o compartilhamento somente com entidades principais

O exemplo a seguir SCP permite que os usuários compartilhem recursos somente com a unidade o-12345abcdef, organizacional da ou-98765fedcba organização Conta da AWS 111111111111 e.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ram:AssociateResourceShare",
        "ram:CreateResourceShare"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "ram:Principal": [
            "arn:aws:organizations::123456789012:organization/o-12345abcdef",
            "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
            "111111111111"
          ]
        },
        "Null": {
          "ram:Principal": "false"
        }
      }
    }
  ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Políticas de exemplo do IAM

Desativar o compartilhamento com Organizações