Contoh kebijakan IAM untuk AWS RAM - AWS Resource Access Manager
Izinkan berbagi sumber daya tertentuIzinkan berbagi jenis sumber daya tertentuBatasi berbagi dengan eksternal Akun AWS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh kebijakan IAM untuk AWS RAM

Topik ini mencakup contoh kebijakan IAM untuk AWS RAM yang menunjukkan berbagi sumber daya tertentu dan jenis sumber daya serta membatasi berbagi.

Contoh 1: Izinkan berbagi sumber daya tertentu

Anda dapat menggunakan kebijakan izin IAM untuk membatasi prinsipal untuk mengaitkan hanya sumber daya tertentu dengan berbagi sumber daya.

Misalnya, kebijakan berikut membatasi prinsipal untuk hanya membagikan aturan resolver dengan Amazon Resource Name (ARN) yang ditentukan. Operator StringEqualsIfExists mengizinkan permintaan jika permintaan tidak menyertakan ResourceArn parameter, atau jika itu menyertakan parameter itu, nilainya sama persis dengan ARN yang ditentukan.

Untuk informasi lebih lanjut tentang kapan dan mengapa menggunakan ...IfExists operator, lihat... IfExistsoperator kondisi di Panduan Pengguna IAM.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "StringEqualsIfExists": {
                "ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample"
            }
        }
    }]
}

Contoh 2: Izinkan berbagi jenis sumber daya tertentu

Anda dapat menggunakan kebijakan IAM untuk membatasi prinsipal untuk mengaitkan hanya jenis sumber daya tertentu dengan berbagi sumber daya.

Misalnya, kebijakan berikut membatasi prinsipal untuk hanya membagikan aturan penyelesai.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "StringEqualsIfExists": {
                "ram:RequestedResourceType": "route53resolver:ResolverRule"
            }
        }
    }]
}

Contoh 3: Batasi berbagi dengan eksternal Akun AWS

Anda dapat menggunakan kebijakan IAM untuk mencegah prinsipal berbagi sumber daya dengan Akun AWS yang berada di luar organisasinya. AWS

Misalnya, kebijakan IAM berikut mencegah prinsipal menambahkan eksternal Akun AWS ke saham sumber daya.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": "ram:CreateResourceShare",
        "Resource": "*",
        "Condition": {
            "Bool": {
                "ram:RequestedAllowsExternalPrincipals": "false"
            }
        }
    }]
}