Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques IAM pour AWS RAM
Cette rubrique inclut des exemples de politiques IAM AWS RAM illustrant le partage de ressources et de types de ressources spécifiques et la restriction du partage.
Exemples de politiques IAM
Exemple 1 : Autoriser le partage de ressources spécifiques
Vous pouvez utiliser une politique d'autorisation IAM pour empêcher les principaux d'associer uniquement des ressources spécifiques à des partages de ressources.
Par exemple, la politique suivante limite les principaux à partager uniquement la règle de résolution avec le Amazon Resource Name (ARN) spécifié. L'opérateur StringEqualsIfExists autorise une demande si la demande n'inclut pas de ResourceArn paramètre ou si elle inclut ce paramètre, si sa valeur correspond exactement à l'ARN spécifié.
Pour plus d'informations sur quand et pourquoi utiliser des ...IfExists opérateurs, voir... IfExists opérateurs de condition dans le guide de l'utilisateur IAM.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"], "Resource": "*", "Condition": { "StringEqualsIfExists": { "ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample" } } }] }
Exemple 2 : Autoriser le partage de types de ressources spécifiques
Vous pouvez utiliser une politique IAM pour limiter les principaux à n'associer que des types de ressources spécifiques aux partages de ressources.
Les actions AssociateResourceShare etCreateResourceShare, peuvent accepter des principes et en resourceArns tant que paramètres d'entrée indépendants. Par conséquent, AWS RAM autorise chaque principal et chaque ressource indépendamment, de sorte qu'il peut y avoir plusieurs contextes de demande. Cela signifie que lorsqu'un principal est associé à un partage de AWS RAM ressources, la clé de ram:RequestedResourceType condition n'est pas présente dans le contexte de la demande. De même, lorsqu'une ressource est associée à un partage de AWS RAM ressources, la clé de ram:Principal condition n'est pas présente dans le contexte de la demande. Par conséquent, pour autoriser AssociateResourceShare et CreateResourceShare associer des principaux au partage de AWS RAM ressources, vous pouvez utiliser l'opérateur de Null condition.
Par exemple, la politique suivante limite les principaux à partager uniquement les règles du résolveur Amazon Route 53 et leur permet d'associer n'importe quel principal à ce partage.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowOnlySpecificResourceType", "Effect": "Allow", "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"], "Resource": "*", "Condition": { "StringEquals": { "ram:RequestedResourceType": "route53resolver:ResolverRule" } } }, { "Sid": "AllowAssociatingPrincipals", "Effect": "Allow", "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"], "Resource": "*", "Condition": { "Null": { "ram:Principal": "false" } } } ] }
Exemple 3 : Restreindre le partage avec des tiers Comptes AWS
Vous pouvez utiliser une politique IAM pour empêcher les principaux de partager des ressources avec Comptes AWS des personnes extérieures à son AWS organisation.
Par exemple, la politique IAM suivante empêche les principaux d'ajouter des éléments externes Comptes AWS aux partages de ressources.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ram:CreateResourceShare", "Resource": "*", "Condition": { "Bool": { "ram:RequestedAllowsExternalPrincipals": "false" } } }] }
