Exemples de stratégies IAM pour AWS RAM - AWS Resource Access Manager
Autoriser le partage de ressources spécifiquesAutoriser le partage de types de ressources spécifiquesRestreindre le partage avec des tiers Comptes AWS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de stratégies IAM pour AWS RAM

Cette rubrique inclut des exemples de politiques IAM AWS RAM qui illustrent le partage de ressources et de types de ressources spécifiques et la restriction du partage.

Exemple 1 : Autoriser le partage de ressources spécifiques

Vous pouvez utiliser une politique d'autorisation IAM pour restreindre les administrateurs à associer uniquement des ressources spécifiques à des partages de ressources.

Par exemple, la politique suivante limite les responsables à partager uniquement la règle de résolution avec le nom de ressource Amazon (ARN) spécifié. L'opérateur StringEqualsIfExists autorise une demande si la demande n'inclut pas de ResourceArn paramètre ou si elle inclut ce paramètre, si sa valeur correspond exactement à l'ARN spécifié.

Pour plus d'informations sur quand et pourquoi utiliser des ...IfExists opérateurs, consultez... IfExistsconditionnez les opérateurs dans le guide de l'utilisateur IAM.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "StringEqualsIfExists": {
                "ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample"
            }
        }
    }]
}

Exemple 2 : Autoriser le partage de types de ressources spécifiques

Vous pouvez utiliser une politique IAM pour limiter les mandants à associer uniquement des types de ressources spécifiques à des partages de ressources.

Par exemple, la politique suivante limite les mandants à partager uniquement les règles du résolveur.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "StringEqualsIfExists": {
                "ram:RequestedResourceType": "route53resolver:ResolverRule"
            }
        }
    }]
}

Exemple 3 : Restreindre le partage avec des utilisateurs externes Comptes AWS

Vous pouvez utiliser une politique IAM pour empêcher les directeurs de partager des ressources avec Comptes AWS des personnes extérieures à l'organisation. AWS

Par exemple, la politique IAM suivante empêche les administrateurs d'ajouter des éléments externes Comptes AWS aux partages de ressources.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": "ram:CreateResourceShare",
        "Resource": "*",
        "Condition": {
            "Bool": {
                "ram:RequestedAllowsExternalPrincipals": "false"
            }
        }
    }]
}