的示例服务控制策略Amazon Organizations和Amazon RAM - Amazon Resource Access Manager
先决条件示例服务控制策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

的示例服务控制策略Amazon Organizations和Amazon RAM

Amazon RAM支持服务控制策略 (SCP)。SCP 是您附加到组织中的元素以管理该组织内的权限的策略。SCP 适用于所有Amazon Web Services 账户 在你附加 SCP 的元素下. SCP 为您组织中的所有账户提供对最大可用权限的集中控制。他们可以帮助你确保Amazon Web Services 账户遵守组织的访问控制准则。有关更多信息,请参阅 。服务控制策略中的Amazon Organizations用户指南.

先决条件

要使用 SCP,您必须先执行以下操作:

  • 启用组织中的所有功能。有关更多信息,请参阅 。启用组织中的所有功能中的Amazon Organizations用户指南

  • 启用 SCP,以便在组织内部使用。有关更多信息,请参阅 。启用和禁用策略类型中的Amazon Organizations用户指南

  • 创建你需要的 SCP。有关创建 SCP 的更多信息,请参阅创建和更新 SCP中的Amazon Organizations用户指南.

示例服务控制策略

以下示例说明如何控制组织内部共享资源的各个方面。

示例 1:禁止外部共享

以下 SCP 阻止用户创建允许与共享用户组织以外的委托人共享的资源共享。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}

示例 2:防止用户接受来自组织外部外部帐户的资源共享邀请

以下 SCP 阻止受影响账户中的任何委托人接受使用资源共享的邀请。共享给与共享帐户同一组织中的其他账户的资源共享不会生成邀请,因此不会受此 SCP 的影响。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ram:AcceptResourceShareInvitation",
            "Resource": "*"
        }
    ]
}

示例 3:允许特定账户共享特定的资源类型

以下 SCP 允许仅限账户111111111111222222222222以创建共享 Amazon EC2 前缀列表的新资源共享,或将前缀列表与现有资源共享相关联。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEquals": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}

示例 4:防止与整个组织或组织单位共享

以下 SCP 阻止用户创建与整个组织或任何组织单位共享资源的资源共享。用户能够与个人共享Amazon Web Services 账户在组织中,或者使用 IAM 角色或用户。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}

示例 5:仅允许与特定委托人共享

以下示例 SCP 允许用户与共享资源仅限组织o-12345abcdef,组织单位ou-98765fedcba, 和Amazon Web Services 账户 111111111111.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringNotEquals": {
                    "ram:Principal": [
                        "arn:aws:organizations::123456789012:organization/o-12345abcdef",
                        "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
                        "111111111111"
                    ]
                }
            }
        }
    ]
}