本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
和的服务控制策略示Amazon Organizations例Amazon RAM
Amazon RAM支持服务控制策略 (SCP)。SCP 是您附加到组织中元素的策略,用于管理该组织内的权限。SCP 适用于您连接 SCP 的元素Amazon Web Services 账户下的所有元素。SCP 为您组织中的所有账户提供对最大可用权限的集中控制。他们可以帮助您确保您Amazon Web Services 账户遵守组织的访问控制准则。有关更多信息,请参阅 Amazon Organizations 用户指南中的服务控制策略。
先决条件
要使用 SCP,您必须先执行以下操作:
-
启用组织中的所有功能。有关更多信息,请参阅Amazon Organizations用户指南中的启用组织中的所有功能
-
启用 SCP,以便在组织内使用。有关更多信息,请参阅《Amazon Organizations用户指南》中的启用和禁用策略类型
-
创建所需的 SCP。有关创建 SCP 的更多信息,请参阅Amazon Organizations用户指南中的创建和更新 SCP。
示例服务控制策略
以下示例介绍您如何控制组织中资源共享的各个方面。
示例 1:阻止外部共享
以下 SCP 阻止用户创建允许与共享用户组织之外的委托人共享的资源共享。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:UpdateResourceShare" ], "Resource": "*", "Condition": { "Bool": { "ram:RequestedAllowsExternalPrincipals": "true" } } } ] }
示例 2:防止用户接受来自组织外部帐户的资源共享邀请
以下 SCP 阻止受影响账户中的任何委托人接受使用资源共享的邀请。与共享账户共享到同一组织中的其他账户的资源共享不会生成邀请,因此不受此 SCP 的影响。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ram:AcceptResourceShareInvitation", "Resource": "*" } ] }
示例 3:允许特定账户共享特定资源类型
222222222222
以下 ScP 仅允许账户111111111111
和创建共用 Amazon EC2 前缀列表的新资源共享或将前缀列表与现有资源共享相关联。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ram:AssociateResourceShare", "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalAccount": [ "111111111111", "222222222222" ] }, "StringEqualsIfExists": { "ram:RequestedResourceType": "ec2:PrefixList" } } } ] }
示例 4:防止与整个组织或组织单位共享
以下 SCP 阻止用户创建与整个组织或任何组织单位共享资源的资源共享。用户可以与组织Amazon Web Services 账户中的个人共享,也可以与 IAM 角色或用户共享。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare" ], "Resource": "*", "Condition": { "StringLike": { "ram:Principal": [ "arn:aws:organizations::*:organization/*", "arn:aws:organizations::*:ou/*" ] } } } ] }
示例 5:仅允许与特定委托人共享
以下示例 SCP 允许用户仅与o-12345abcdef,
组织组织单位共享资源ou-98765fedcba
,以及Amazon Web Services 账户111111111111
。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ram:AssociateResourceShare", "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "ram:Principal": [ "arn:aws:organizations::123456789012:organization/o-12345abcdef", "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba", "111111111111" ] } } } ] }