AWS RAM の IAM ポリシー例 - AWS Resource Access Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS RAM の IAM ポリシー例

このトピックでは、特定のリソースやリソースタイプを共有し、共有を制限することを示す AWS RAM のIAM ポリシーの例を紹介します。

例 1: 特定のリソースの共有を許可する

IAM アクセス許可ポリシーを使用して、特定のリソースのみをリソース共有に関連付けるようにプリンシパルを制限できます。

例えば、以下のポリシーでは、指定した Amazon リソースネーム (ARN) のリゾルバールールのみを共有するようにプリンシパルを制限しています。StringEqualsIfExists 演算子は、要求に ResourceArn パラメータが含まれていないか、またはパラメータが含まれている場合、値が指定された ARN と完全に一致する要求を許可します。

...IfExists 演算子を使用するタイミングと理由の詳細については、「IAM ユーザーズガイド」の「...IfExists 条件演算子」を参照してください。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"], "Resource": "*", "Condition": { "StringEqualsIfExists": { "ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample" } } }] }

例 2: 特定のリソースタイプの共有を許可する

IAM ポリシーを使用して、特定のリソースのみをリソース共有に関連付けるようにプリンシパルを限定できます。

例えば、以下のポリシーでは、リゾルバールールのみを共有するようにプリンシパルを制限しています。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"], "Resource": "*", "Condition": { "StringEqualsIfExists": { "ram:RequestedResourceType": "route53resolver:ResolverRule" } } }] }

例 3: 外部 AWS アカウント との共有を制限する

IAM ポリシーを使用して、プリンシパルがその AWS アカウント 組織の外にある AWS とリソースを共有するのを防ぐことができます。

例えば、次の IAM ポリシーでは、プリンシパルによるリソース共有への外部 AWS アカウント の追加を防ぎます。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ram:CreateResourceShare", "Resource": "*", "Condition": { "Bool": { "ram:RequestedAllowsExternalPrincipals": "false" } } }] }