Policy IAM di esempio per AWS RAM - AWS Resource Access Manager
Consenti la condivisione di risorse specificheConsenti la condivisione di tipi di risorse specificiLimita la condivisione con utenti esterni Account AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Policy IAM di esempio per AWS RAM

Questo argomento include esempi di policy IAM AWS RAM che dimostrano la condivisione di risorse e tipi di risorse specifici e la limitazione della condivisione.

Esempio 1: consentire la condivisione di risorse specifiche

Puoi utilizzare una politica di autorizzazione IAM per limitare i responsabili ad associare solo risorse specifiche alle condivisioni di risorse.

Ad esempio, la seguente policy limita i responsabili a condividere solo la regola del resolver con l'Amazon Resource Name (ARN) specificato. L'operatore StringEqualsIfExists consente una richiesta se la richiesta non include un ResourceArn parametro o se include quel parametro, che il suo valore corrisponda esattamente all'ARN specificato.

Per ulteriori informazioni su quando e perché utilizzare ...IfExists gli operatori, consulta... IfExistsoperatori di condizioni nella Guida per l'utente IAM.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "StringEqualsIfExists": {
                "ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample"
            }
        }
    }]
}

Esempio 2: consentire la condivisione di tipi di risorse specifici

Puoi utilizzare una policy IAM per limitare i responsabili ad associare solo tipi di risorse specifici alle condivisioni di risorse.

Ad esempio, la seguente politica limita i principati a condividere solo le regole del resolver.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "StringEqualsIfExists": {
                "ram:RequestedResourceType": "route53resolver:ResolverRule"
            }
        }
    }]
}

Esempio 3: limita la condivisione con utenti esterni Account AWS

Puoi utilizzare una policy IAM per impedire ai responsabili di condividere risorse con Account AWS persone esterne all'AWSorganizzazione.

Ad esempio, la seguente politica IAM impedisce ai responsabili di aggiungere condivisioni Account AWS di risorse esterne.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": "ram:CreateResourceShare",
        "Resource": "*",
        "Condition": {
            "Bool": {
                "ram:RequestedAllowsExternalPrincipals": "false"
            }
        }
    }]
}