本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon RAM 的 IAM 策略示例
本主题包括演示共享特定资源和资源类型以及限制共享的 IAM 策略示例。Amazon RAM
示例 IAM policy
示例 1:允许共享特定资源
您可以使用 IAM 权限策略限制委托人仅将特定资源与资源共享相关联。
例如,以下策略限制委托人仅共享具有指定亚马逊资源名称 (ARN) 的解析规则。如果请求不包含参数,或者如果请求包含该ResourceArn
参数,则其值与指定的 ARN 完全匹配,则操作员StringEqualsIfExists
允许请求。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"], "Resource": "*", "Condition": { "StringEqualsIfExists": { "ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample" } } }] }
示例 2:允许共享特定资源类型
您可以使用 IAM 策略限制委托人仅将特定资源类型与资源共享相关联。
例如,以下策略限制委托人仅共享解析规则。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"], "Resource": "*", "Condition": { "StringEqualsIfExists": { "ram:RequestedResourceType": "route53resolver:ResolverRule" } } }] }
示例 3:限制与外部共享Amazon Web Services 账户
您可以使用 IAM 策略来防止委托人与Amazon Web Services 账户其Amazon组织之外的资源共享。
例如,以下 IAM 策略阻止委托人Amazon Web Services 账户添加外部资源共享。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ram:CreateResourceShare", "Resource": "*", "Condition": { "Bool": { "ram:RequestedAllowsExternalPrincipals": "false" } } }] }