Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de stratégies IAM pour AWS RAM
Cette rubrique inclut des exemples de politiques IAM AWS RAM qui illustrent le partage de ressources et de types de ressources spécifiques et la restriction du partage.
Exemples de politiques IAM
Exemple 1 : Autoriser le partage de ressources spécifiques
Vous pouvez utiliser une politique d'autorisation IAM pour restreindre les administrateurs à associer uniquement des ressources spécifiques à des partages de ressources.
Par exemple, la politique suivante limite les responsables à partager uniquement la règle de résolution avec le nom de ressource Amazon (ARN) spécifié. L'opérateur StringEqualsIfExists
autorise une demande si la demande n'inclut pas de ResourceArn
paramètre ou si elle inclut ce paramètre, si sa valeur correspond exactement à l'ARN spécifié.
Pour plus d'informations sur quand et pourquoi utiliser des ...IfExists
opérateurs, consultez... IfExistsconditionnez les opérateurs dans le guide de l'utilisateur IAM.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"], "Resource": "*", "Condition": { "StringEqualsIfExists": { "ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample" } } }] }
Exemple 2 : Autoriser le partage de types de ressources spécifiques
Vous pouvez utiliser une politique IAM pour limiter les mandants à associer uniquement des types de ressources spécifiques à des partages de ressources.
Par exemple, la politique suivante limite les mandants à partager uniquement les règles du résolveur.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"], "Resource": "*", "Condition": { "StringEqualsIfExists": { "ram:RequestedResourceType": "route53resolver:ResolverRule" } } }] }
Exemple 3 : Restreindre le partage avec des utilisateurs externes Comptes AWS
Vous pouvez utiliser une politique IAM pour empêcher les directeurs de partager des ressources avec Comptes AWS des personnes extérieures à l'organisation. AWS
Par exemple, la politique IAM suivante empêche les administrateurs d'ajouter des éléments externes Comptes AWS aux partages de ressources.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ram:CreateResourceShare", "Resource": "*", "Condition": { "Bool": { "ram:RequestedAllowsExternalPrincipals": "false" } } }] }