Requisitos previos Ejemplo de políticas de control de servicios

Ejemplos de políticas de control de servicios para AWS Organizations y AWS RAM

AWS RAM admite políticas de control de servicios (SCPs). SCPsson políticas que se adjuntan a los elementos de una organización para gestionar los permisos dentro de esa organización. Una SCP se aplica a todos Cuentas de AWS los elementos incluidos en el elemento al que se adjunta SCP. SCPsofrezca un control central sobre el máximo de permisos disponibles para todas las cuentas de su organización. Pueden ayudarlo a garantizar que se Cuentas de AWS mantenga dentro de las pautas de control de acceso de su organización. Para obtener más información, consulte Políticas de control de servicios en la Guía del usuario de AWS Organizations .

Requisitos previos

Para usarloSCPs, primero debe hacer lo siguiente:

Habilitar todas las características en la organización. Para obtener más información, consulte Habilitar todas las características en la organización en la Guía del usuario de AWS Organizations .
Habilite SCPs su uso en su organización. Para obtener más información, consulte Habilitar y deshabilitar tipos de políticas en la Guía del usuario de AWS Organizations .
Cree lo SCPs que necesita. Para obtener más información sobre la creaciónSCPs, consulte Creación y actualización SCPs en la Guía del AWS Organizations usuario.

Ejemplo de políticas de control de servicios

Contenido

Los siguientes ejemplos le muestran cómo puede controlar varios aspectos del uso compartido de recursos en una organización.

Ejemplo 1: Impedir la posibilidad de compartir externamente

Lo siguiente SCP impide que los usuarios creen recursos compartidos que permitan compartirlos con entidades principales ajenas a la organización del usuario que los comparte.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}

Ejemplo 2: Impedir que los usuarios acepten invitaciones a recursos compartidos desde cuentas externas a la organización

Lo siguiente SCP impide que el director de una cuenta afectada acepte una invitación para usar un recurso compartido. Los recursos compartidos que se comparten con otras cuentas de la misma organización que la cuenta compartida no generan invitaciones y, por lo tanto, no se ven afectados por elloSCP.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ram:AcceptResourceShareInvitation",
            "Resource": "*"
        }
    ]
}

Ejemplo 3: Permitir que determinadas cuentas compartan tipos de recursos específicos

Lo siguiente SCP permite solo cuentas 111111111111 y 222222222222 crear nuevos recursos compartidos que compartan listas de EC2 prefijos de Amazon o asociar listas de prefijos a recursos compartidos existentes.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEqualsIfExists": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}

Ejemplo 4: Impedir que se comparta con toda la organización o con unidades organizativas

Lo siguiente SCP impide que los usuarios creen recursos compartidos que compartan recursos con toda la organización o con cualquier unidad organizativa. Los usuarios pueden compartirlos con una persona Cuentas de AWS de la organización o con IAM roles o usuarios.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}

Ejemplo 5: Permitir compartir solo con determinadas entidades principales

El siguiente ejemplo SCP permite a los usuarios compartir recursos únicamente con la organizaciónou-98765fedcba, la unidad o-12345abcdef, organizativa y Cuenta de AWS 111111111111.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ram:AssociateResourceShare",
        "ram:CreateResourceShare"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "ram:Principal": [
            "arn:aws:organizations::123456789012:organization/o-12345abcdef",
            "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
            "111111111111"
          ]
        },
        "Null": {
          "ram:Principal": "false"
        }
      }
    }
  ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejemplos de políticas de IAM

Deshabilitar el uso compartido con organizaciones