SCP de ejemplo para AWS Resource Access Manager - AWS Organizations
Prevención de uso compartido externo Permitir que determinadas cuentas compartan solo tipos de recursos especificados Evitar compartir con organizaciones o unidades organizativas (OU) Permitir el uso compartido solo con usuarios y roles de IAM especificados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

SCP de ejemplo para AWS Resource Access Manager

Prevención de uso compartido externo

En el siguiente ejemplo, SCP evita que los usuarios creen recursos compartidos que permiten compartir con usuarios de IAM y roles que no forman parte de la organización.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}

Permitir que determinadas cuentas compartan solo tipos de recursos especificados

La siguiente SCP permite cuentas 111111111111 y 222222222222 para crear recursos compartidos que compartan listas de prefijos y asociar listas de prefijos con recursos compartidos existentes.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OnlyNamedAccountsCanSharePrefixLists",
            "Effect": "Deny",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEquals": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}

Evitar compartir con organizaciones o unidades organizativas (OU)

La siguiente SCP impide que los usuarios creen recursos compartidos que comparten recursos con una organización AWS u OU.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}

Permitir el uso compartido solo con usuarios y roles de IAM especificados

El siguiente ejemplo de SCP permite a los usuarios compartir recursos con solamente la organización o-12345abcdef, unidad organizativa ou-98765fedcba, y cuenta 111111111111.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringNotEquals": {
                    "ram:Principal": [
                        "arn:aws:organizations::123456789012:organization/o-12345abcdef",
                        "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
                        "111111111111"
                    ]
                }
            }
        }
    ]
}