Prérequis Exemples de politiques de contrôle des services

Exemples de politiques de contrôle des services pour AWS Organizations et AWS RAM

AWS RAM prend en charge les politiques de contrôle des services (SCPs). SCPssont des politiques que vous associez aux éléments d'une organisation pour gérer les autorisations au sein de cette organisation. A s'SCPapplique à tout ce qui se trouve Comptes AWS sous l'élément auquel vous attachez le SCP. SCPsoffrent un contrôle centralisé des autorisations maximales disponibles pour tous les comptes de votre organisation. Ils peuvent vous aider à respecter les directives de contrôle d'accès de votre organisation. Comptes AWS Pour plus d'informations, consultez la section Politiques de contrôle de service du Guide de l'utilisateur AWS Organizations .

Prérequis

Pour l'utiliserSCPs, vous devez d'abord effectuer les opérations suivantes :

Activez toutes les fonctions de votre organisation. Pour plus d'informations, voir Activation de toutes les fonctionnalités de votre organisation dans le Guide de AWS Organizations l'utilisateur
Activez SCPs pour une utilisation au sein de votre organisation. Pour plus d'informations, voir Activation et désactivation des types de politiques dans le guide de l'AWS Organizations utilisateur
Créez SCPs ce dont vous avez besoin. Pour plus d'informations sur la créationSCPs, voir Création et mise à jour SCPs dans le Guide de AWS Organizations l'utilisateur.

Exemples de politiques de contrôle des services

Table des matières

Les exemples suivants montrent comment contrôler les différents aspects liés au partage des ressources dans une organisation.

Exemple 1 : empêcher le partage externe

Ce qui suit SCP empêche les utilisateurs de créer des partages de ressources qui autorisent le partage avec des responsables extérieurs à l'organisation de l'utilisateur qui partage les ressources.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}

Exemple 2 : Empêcher les utilisateurs d'accepter des invitations à partager des ressources provenant de comptes externes à votre organisation

Ce qui suit SCP empêche tout responsable d'un compte concerné d'accepter une invitation à utiliser un partage de ressources. Les partages de ressources partagés avec d'autres comptes de la même organisation que le compte de partage ne génèrent pas d'invitations et ne sont donc pas affectés par celaSCP.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ram:AcceptResourceShareInvitation",
            "Resource": "*"
        }
    ]
}

Exemple 3 : autoriser des comptes spécifiques à partager des types de ressources spécifiques

Ce qui suit SCP autorise uniquement les comptes 111111111111 et permet 222222222222 de créer de nouveaux partages de ressources qui partagent des listes de EC2 préfixes Amazon ou d'associer des listes de préfixes à des partages de ressources existants.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEqualsIfExists": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}

Exemple 4 : empêcher le partage avec l'ensemble de l'organisation ou avec des unités organisationnelles

Ce qui suit SCP empêche les utilisateurs de créer des partages de ressources qui partagent des ressources avec l'ensemble d'une organisation ou avec une unité organisationnelle. Les utilisateurs peuvent partager avec un Comptes AWS membre de l'organisation, ou avec IAM des rôles ou des utilisateurs.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}

Exemple 5 : autoriser le partage uniquement avec des principaux spécifiques

L'exemple suivant SCP permet aux utilisateurs de partager des ressources uniquement avec l'unité o-12345abcdef, organisationnelle de l'organisationou-98765fedcba, et Compte AWS 111111111111.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ram:AssociateResourceShare",
        "ram:CreateResourceShare"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "ram:Principal": [
            "arn:aws:organizations::123456789012:organization/o-12345abcdef",
            "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
            "111111111111"
          ]
        },
        "Null": {
          "ram:Principal": "false"
        }
      }
    }
  ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Exemple de politiques IAM

Désactiver le partage avec les Organisations