Esempi di politiche di controllo dei servizi per AWS Organizations e AWS RAM

AWS RAM supporta le politiche di controllo del servizio (SCPs). SCPssono politiche che allegate agli elementi di un'organizzazione per gestire le autorizzazioni all'interno di tale organizzazione. An SCP si applica a tutti gli elementi inclusi Account AWS nell'elemento a cui si allega il SCP. SCPsoffri il controllo centralizzato sulle autorizzazioni massime disponibili per tutti gli account della tua organizzazione. Possono aiutarvi a garantire che rispettiate le Account AWS linee guida per il controllo degli accessi della vostra organizzazione. Per ulteriori informazioni, consultare Policy di controllo dei servizi nella Guida per l'utente di AWS Organizations .

Prerequisiti

Per utilizzarloSCPs, devi prima fare quanto segue:

• Abilitazione di tutte le caratteristiche nell'organizzazione. Per ulteriori informazioni, vedere Abilitazione di tutte le funzionalità dell'organizzazione nella Guida AWS Organizations per l'utente

• Abilita SCPs per l'uso all'interno della tua organizzazione. Per ulteriori informazioni, vedere Abilitazione e disabilitazione dei tipi di policy nella Guida per l'AWS Organizations utente

• Crea quello SCPs che ti serve. Per ulteriori informazioni sulla creazioneSCPs, consulta Creazione e aggiornamento SCPs nella Guida AWS Organizations per l'utente.

Policy di controllo dei servizi di esempio

Indice

• Esempio 1: Impedire la condivisione esterna
• Esempio 2: impedire agli utenti di accettare inviti alla condivisione di risorse da account esterni all'organizzazione
• Esempio 3: consentire ad account specifici di condividere tipi di risorse specifici
• Esempio 4: impedire la condivisione con l'intera organizzazione o con le unità organizzative
• Esempio 5: consenti la condivisione solo con soggetti specifici

Di seguito sono riportati alcuni esempi che mostrano come controllare vari aspetti della condivisione delle risorse in un'organizzazione.

Esempio 1: Impedire la condivisione esterna

Quanto segue SCP impedisce agli utenti di creare condivisioni di risorse che consentano la condivisione con responsabili esterni all'organizzazione dell'utente che condivide.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}

Esempio 2: impedire agli utenti di accettare inviti alla condivisione di risorse da account esterni all'organizzazione

Quanto segue SCP impedisce a qualsiasi responsabile di un account interessato di accettare un invito a utilizzare una condivisione di risorse. Le condivisioni di risorse condivise con altri account della stessa organizzazione dell'account di condivisione non generano inviti e pertanto non ne sono influenzate. SCP

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ram:AcceptResourceShareInvitation",
            "Resource": "*"
        }
    ]
}

Esempio 3: consentire ad account specifici di condividere tipi di risorse specifici

Quanto segue SCP consente solo gli account 111111111111 e la creazione 222222222222 di nuove condivisioni di risorse che condividono elenchi di EC2 prefissi Amazon o l'associazione di elenchi di prefissi a condivisioni di risorse esistenti.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEqualsIfExists": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}

Esempio 4: impedire la condivisione con l'intera organizzazione o con le unità organizzative

Quanto segue SCP impedisce agli utenti di creare condivisioni di risorse che condividano risorse con un'intera organizzazione o con qualsiasi unità organizzativa. Gli utenti possono condividere con singoli Account AWS membri dell'organizzazione o con IAM ruoli o utenti.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}

Esempio 5: consenti la condivisione solo con soggetti specifici

L'esempio seguente SCP consente agli utenti di condividere risorse solo con l'unità o-12345abcdef, ou-98765fedcba organizzativa dell'organizzazione e Account AWS 111111111111.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ram:AssociateResourceShare",
        "ram:CreateResourceShare"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "ram:Principal": [
            "arn:aws:organizations::123456789012:organization/o-12345abcdef",
            "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
            "111111111111"
          ]
        },
        "Null": {
          "ram:Principal": "false"
        }
      }
    }
  ]
}