Amazon RAM 的 IAM 策略示例 - Amazon Resource Access Manager
允许共享特定资源允许共享特定的资源类型限制与外部共享 Amazon Web Services 账户
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon RAM 的 IAM 策略示例

本主题包括演示共享特定资源和资源类型以及限制共享的 IAM 策略示例。Amazon RAM

示例 1:允许共享特定资源

您可以使用 IAM 权限策略限制委托人仅将特定资源与资源共享相关联。

例如,以下策略将委托人限制为仅共享具有指定 Amazon 资源名称 (ARN) 的解析器规则。如果请求不包含参数,或者如果请求包含该ResourceArn参数,则其值与指定的 ARN 完全匹配,则操作员将StringEqualsIfExists允许请求。

有关何时和为何使用...IfExists运算符的更多信息,请参阅... IfExistsIAM 用户指南中的条件运算符

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "StringEqualsIfExists": {
                "ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample"
            }
        }
    }]
}

示例 2:允许共享特定资源类型

您可以使用 IAM 策略将委托人限制为仅将特定资源类型与资源共享相关联。

例如,以下策略将委托人限制为仅共享解析器规则。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "StringEqualsIfExists": {
                "ram:RequestedResourceType": "route53resolver:ResolverRule"
            }
        }
    }]
}

示例 3:限制与外部共享 Amazon Web Services 账户

您可以使用 IAM 策略来防止委托人与Amazon Web Services 账户其Amazon组织外部的委托人共享资源。

例如,以下 IAM 策略阻止委托人Amazon Web Services 账户向资源共享添加外部资源。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": "ram:CreateResourceShare",
        "Resource": "*",
        "Condition": {
            "Bool": {
                "ram:RequestedAllowsExternalPrincipals": "false"
            }
        }
    }]
}