Contoh kebijakan kontrol layanan untuk AWS Organizations dan AWS RAM

AWS RAM mendukung kebijakan kontrol layanan (SCPs). SCPsadalah kebijakan yang Anda lampirkan ke elemen dalam organisasi untuk mengelola izin dalam organisasi tersebut. An SCP berlaku untuk semua Akun AWS di bawah elemen yang Anda lampirkan SCP. SCPsmenawarkan kontrol pusat atas izin maksimum yang tersedia untuk semua akun di organisasi Anda. Mereka dapat membantu Anda memastikan Anda Akun AWS tetap berada dalam pedoman kontrol akses organisasi Anda. Untuk informasi selengkapnya, lihat Kebijakan kontrol layanan di Panduan AWS Organizations Pengguna.

Prasyarat

Untuk menggunakannyaSCPs, Anda harus terlebih dahulu melakukan hal berikut:

• Aktifkan semua fitur di organisasi Anda. Untuk informasi selengkapnya, lihat Mengaktifkan semua fitur di organisasi Anda di AWS Organizations Panduan Pengguna

• Aktifkan SCPs untuk digunakan dalam organisasi Anda. Untuk informasi selengkapnya, lihat Mengaktifkan dan menonaktifkan jenis kebijakan di Panduan Pengguna AWS Organizations

• Buat SCPs yang Anda butuhkan. Untuk informasi selengkapnya tentang membuatSCPs, lihat Membuat dan memperbarui SCPs di Panduan AWS Organizations Pengguna.

Contoh Kebijakan Kontrol Layanan

Daftar Isi

• Contoh 1: Mencegah berbagi eksternal
• Contoh 2: Mencegah pengguna menerima undangan berbagi sumber daya dari akun eksternal di luar organisasi Anda
• Contoh 3: Izinkan akun tertentu untuk berbagi jenis sumber daya tertentu
• Contoh 4: Mencegah berbagi dengan seluruh organisasi atau dengan unit organisasi
• Contoh 5: Izinkan berbagi hanya dengan prinsipal tertentu

Contoh berikut menunjukkan bagaimana Anda dapat mengontrol berbagai aspek berbagi sumber daya dalam suatu organisasi.

Contoh 1: Mencegah berbagi eksternal

Berikut ini SCP mencegah pengguna membuat pembagian sumber daya yang memungkinkan berbagi dengan prinsipal yang berada di luar organisasi pengguna berbagi.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}

Contoh 2: Mencegah pengguna menerima undangan berbagi sumber daya dari akun eksternal di luar organisasi Anda

Berikut ini SCP memblokir setiap prinsipal di akun yang terpengaruh agar tidak menerima undangan untuk menggunakan pembagian sumber daya. Pembagian sumber daya yang dibagikan ke akun lain di organisasi yang sama dengan akun berbagi tidak menghasilkan undangan dan karenanya tidak terpengaruh oleh hal ini. SCP

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ram:AcceptResourceShareInvitation",
            "Resource": "*"
        }
    ]
}

Contoh 3: Izinkan akun tertentu untuk berbagi jenis sumber daya tertentu

Berikut ini hanya SCP mengizinkan akun 111111111111 dan 222222222222 membuat pembagian sumber daya baru yang berbagi daftar EC2 awalan Amazon atau mengaitkan daftar awalan dengan pembagian sumber daya yang ada.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEqualsIfExists": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}

Contoh 4: Mencegah berbagi dengan seluruh organisasi atau dengan unit organisasi

Berikut ini SCP mencegah pengguna membuat pembagian sumber daya yang berbagi sumber daya dengan seluruh organisasi atau dengan unit organisasi apa pun. Pengguna dapat berbagi dengan individu Akun AWS dalam organisasi, atau dengan IAM peran atau pengguna.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}

Contoh 5: Izinkan berbagi hanya dengan prinsipal tertentu

Contoh berikut SCP memungkinkan pengguna untuk berbagi sumber daya dengan hanya unit o-12345abcdef, organisasi organisasiou-98765fedcba, dan Akun AWS 111111111111.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ram:AssociateResourceShare",
        "ram:CreateResourceShare"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "ram:Principal": [
            "arn:aws:organizations::123456789012:organization/o-12345abcdef",
            "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
            "111111111111"
          ]
        },
        "Null": {
          "ram:Principal": "false"
        }
      }
    }
  ]
}