示例 IAM 策略 - AWS Resource Access Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

示例 IAM 策略

示例 1:允许共享特定资源

您可以使用 IAM 策略来限制principals只将特定资源与资源共享关联。

例如,以下策略限制principals只与指定的 Amazon 资源名称 (ARN) 共享解析程序规则。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"], "Resource": "*", "Condition": { "StringEquals": { "ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample" } } }] }

示例 2:允许共享特定的资源类型

您可以使用 IAM 策略来限制principals只将特定的资源类型与资源共享关联。

例如,以下策略限制principals只共享解析程序规则。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"], "Resource": "*", "Condition": { "StringEquals": { "ram:RequestedResourceType": "route53resolver:ResolverRule" } } }] }

示例 3: 限制与外部 AWS 账户共享

您可以使用 IAM 策略防止principals与其 AWS 组织外部的 AWS 账户共享资源。

例如,以下 IAM 策略禁止principals将外部 AWS 账户添加到资源共享。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ram:CreateResourceShare", "Resource": "*", "Condition": { "Bool": { "ram:RequestedAllowsExternalPrincipals": "false" } } }] }