Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Beispiele für Dienststeuerungsrichtlinien für AWS Organizations und AWS RAM
<a name="security-scp"></a>

AWS RAM unterstützt Richtlinien zur Dienststeuerung (SCPs). SCPs sind Richtlinien, die Sie an Elemente in einer Organisation anhängen, um Berechtigungen innerhalb dieser Organisation zu verwalten. Ein SCP gilt für alle AWS-Konten [Unterkategorien des Elements, an das Sie den SCP anhängen](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html). SCPs bieten eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für alle Konten in Ihrer Organisation. Sie können Ihnen dabei helfen, sicherzustellen, dass Sie die Richtlinien Ihrer Organisation für die Zugriffskontrolle einhalten. AWS-Konten Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) im *AWS Organizations -Benutzerhandbuch*.

## Voraussetzungen
<a name="scp-prereqs"></a>

Um sie verwenden zu können SCPs, müssen Sie zunächst wie folgt vorgehen:
+ Aktivieren aller Funktionen in der Organisation. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Alle Funktionen in Ihrer Organisation aktivieren](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)
+  SCPs Für die Verwendung in Ihrer Organisation aktivieren. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinientypen aktivieren und deaktivieren](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html)
+ Erstellen Sie das SCPs , was Sie benötigen. Weitere Informationen zum Erstellen SCPs finden Sie unter [Erstellen und Aktualisieren SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html) im *AWS Organizations Benutzerhandbuch*.

## Beispiel für Service-Kontrollrichtlinien
<a name="scp-examples"></a>

**Contents**
+ [Beispiel 1: Externes Teilen verhindern](#example-one)
+ [Beispiel 2: Verhindern Sie, dass Benutzer Einladungen zur gemeinsamen Nutzung von Ressourcen von externen Konten außerhalb Ihrer Organisation annehmen](#example-two)
+ [Beispiel 3: Erlauben Sie bestimmten Konten, bestimmte Ressourcentypen gemeinsam zu nutzen](#example-three)
+ [Beispiel 4: Verhindern Sie die gemeinsame Nutzung mit der gesamten Organisation oder mit Organisationseinheiten](#example-four)
+ [Beispiel 5: Erlaube die gemeinsame Nutzung nur mit bestimmten Principals](#example-five)
+ [Beispiel 6: Verhindern Sie gemeinsame Nutzung von Ressourcen, wenn diese Option aktiviert RetainSharingOnAccountLeaveOrganization ist](#example-six)

In den folgenden Beispielen wird veranschaulicht, wie Sie verschiedene Aspekte der Ressourcenfreigabe in einer Organisation steuern können.

### Beispiel 1: Externes Teilen verhindern
<a name="example-one"></a>

Das folgende SCP verhindert, dass Benutzer Ressourcenfreigaben erstellen, die die gemeinsame Nutzung mit Prinzipalen ermöglichen, die sich außerhalb der Organisation des gemeinsam genutzten Benutzers befinden.

AWS RAM autorisiert APIs separat für jeden Prinzipal und jede Ressource, die im Anruf aufgeführt sind.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}
```

------

### Beispiel 2: Verhindern Sie, dass Benutzer Einladungen zur gemeinsamen Nutzung von Ressourcen von externen Konten außerhalb Ihrer Organisation annehmen
<a name="example-two"></a>

Der folgende SCP verhindert, dass alle Benutzer in einem betroffenen Konto eine Einladung zur Nutzung eines Resource Shares annehmen. Ressourcenfreigaben, die für andere Konten in derselben Organisation wie das Sharing-Konto gemeinsam genutzt werden, generieren keine Einladungen und sind daher von diesem SCP nicht betroffen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ram:AcceptResourceShareInvitation",
            "Resource": "*"
        }
    ]
}
```

------

### Beispiel 3: Erlauben Sie bestimmten Konten, bestimmte Ressourcentypen gemeinsam zu nutzen
<a name="example-three"></a>

Das folgende SCP erlaubt *nur* Konten `111111111111` und `222222222222` das Erstellen neuer Ressourcenfreigaben, die Amazon EC2-Präfixlisten gemeinsam nutzen, oder das Zuordnen von Präfixlisten zu bestehenden Ressourcenfreigaben.

AWS RAM autorisiert APIs separat für jeden Prinzipal und jede Ressource, die im Call aufgeführt sind.

Der Operator `StringEqualsIfExists` lässt eine Anfrage zu, wenn entweder die Anforderung keinen Ressourcentypparameter enthält oder wenn sie diesen Parameter enthält, wenn sein Wert genau dem angegebenen Ressourcentyp entspricht. Wenn Sie einen Schulleiter einbeziehen, müssen Sie ihn haben`...IfExists`. 

Weitere Informationen darüber, wann und warum `...IfExists` Operatoren verwendet werden sollten, finden Sie unter[... IfExists Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) im *IAM-Benutzerhandbuch*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEqualsIfExists": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}
```

------

### Beispiel 4: Verhindern Sie die gemeinsame Nutzung mit der gesamten Organisation oder mit Organisationseinheiten
<a name="example-four"></a>

Das folgende SCP verhindert, dass Benutzer Ressourcenfreigaben erstellen, die Ressourcen mit einer gesamten Organisation oder mit beliebigen Organisationseinheiten gemeinsam nutzen. Benutzer *können Daten* mit einzelnen Personen AWS-Konten in der Organisation oder mit IAM-Rollen oder -Benutzern teilen.

AWS RAM autorisiert APIs separat für jeden Prinzipal und jede Ressource, die im Call aufgeführt sind.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}
```

------

### Beispiel 5: Erlaube die gemeinsame Nutzung nur mit bestimmten Principals
<a name="example-five"></a>

Das folgende Beispiel mit SCP ermöglicht es Benutzern, Ressourcen *nur* mit der `o-12345abcdef,` Organisationseinheit `ou-98765fedcba` der Organisation und gemeinsam zu nutzen. AWS-Konto `111111111111`

Wenn Sie beispielsweise `StringNotEqualsIfExists` ein `"Effect": "Deny"` Element mit einem negierten Bedingungsoperator verwenden, wird die Anfrage auch dann abgelehnt, wenn der Bedingungsschlüssel nicht vorhanden ist. Verwenden Sie einen Bedingungsoperator `Null`, um zu prüfen, ob ein Bedingungsschlüssel zum Zeitpunkt der Autorisierung abwesend ist.

AWS RAM autorisiert APIs separat für jeden Prinzipal und jede Ressource, die im Call aufgeführt sind.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ram:AssociateResourceShare",
        "ram:CreateResourceShare"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "ram:Principal": [
            "arn:aws:organizations::123456789012:organization/o-12345abcdef",
            "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
            "111111111111"
          ]
        },
        "Null": {
          "ram:Principal": "false"
        }
      }
    }
  ]
}
```

------

### Beispiel 6: Verhindern Sie gemeinsame Nutzung von Ressourcen, wenn diese Option aktiviert RetainSharingOnAccountLeaveOrganization ist
<a name="example-six"></a>

Der folgende SCP verhindert, dass Benutzer Ressourcenfreigaben erstellen oder ändern, wenn der `ram:RetainSharingOnAccountLeaveOrganization` Bedingungsschlüssel auf `true` gesetzt ist.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare",
                "ram:DisassociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RetainSharingOnAccountLeaveOrganization": "true"
                }
            }
        }
    ]
}
```