翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS RAM の IAM ポリシー例
このトピックでは、特定のリソースやリソースタイプを共有し、共有を制限することを示す AWS RAM のIAM ポリシーの例を紹介します。
例 1: 特定のリソースの共有を許可する
IAM アクセス許可ポリシーを使用して、特定のリソースのみをリソース共有に関連付けるようにプリンシパルを制限できます。
例えば、以下のポリシーでは、指定した Amazon リソースネーム (ARN) のリゾルバールールのみを共有するようにプリンシパルを制限しています。StringEqualsIfExists
演算子は、要求に ResourceArn
パラメータが含まれていないか、またはパラメータが含まれている場合、値が指定された ARN と完全に一致する要求を許可します。
...IfExists
演算子を使用するタイミングと理由の詳細については、「IAM ユーザーズガイド」の「...IfExists 条件演算子」を参照してください。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"], "Resource": "*", "Condition": { "StringEqualsIfExists": { "ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample" } } }] }
例 2: 特定のリソースタイプの共有を許可する
IAM ポリシーを使用して、特定のリソースのみをリソース共有に関連付けるようにプリンシパルを限定できます。
例えば、以下のポリシーでは、リゾルバールールのみを共有するようにプリンシパルを制限しています。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"], "Resource": "*", "Condition": { "StringEqualsIfExists": { "ram:RequestedResourceType": "route53resolver:ResolverRule" } } }] }
例 3: 外部 AWS アカウント との共有を制限する
IAM ポリシーを使用して、プリンシパルがその AWS アカウント 組織の外にある AWS とリソースを共有するのを防ぐことができます。
例えば、次の IAM ポリシーでは、プリンシパルによるリソース共有への外部 AWS アカウント の追加を防ぎます。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ram:CreateResourceShare", "Resource": "*", "Condition": { "Bool": { "ram:RequestedAllowsExternalPrincipals": "false" } } }] }