AWS RAM에 대한 예제 IAM 정책 - AWS Resource Access Manager
특정 리소스 공유 허용특정 리소스 유형 공유 허용외부 AWS 계정과의 공유 제한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS RAM에 대한 예제 IAM 정책

이 주제에서는 특정 리소스 및 리소스 유형을 공유하고 공유를 제한하는 방법을 보여주는 AWS RAM에 대한 IAM 정책의 예를 다룹니다.

예 1: 특정 리소스 공유 허용

IAM 권한 정책을 사용하여 보안 주체가 특정 리소스만 리소스 공유와 연결하도록 제한할 수 있습니다.

예를 들어, 다음 정책은 보안 주체가 지정된 Amazon 리소스 이름 (ARN)을 사용하는 해석기 규칙만 공유하도록 제한합니다. 요청에 ResourceArn 파라미터가 포함되어 있지 않거나 해당 파라미터가 포함되어 있으며 값이 지정된 ARN과 정확히 일치하는 경우 StringEqualsIfExists 연산자는 요청을 허용합니다.

...IfExists 연산자를 사용하는 시기와 이유에 대한 자세한 내용은 IAM 사용 설명서에서 ...IfExists 조건 연산자를 참조하세요.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "StringEqualsIfExists": {
                "ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample"
            }
        }
    }]
}

예 2: 특정 리소스 유형 공유 허용

IAM 정책을 사용하여 보안 주체가 특정 리소스 유형만 리소스 공유와 연결하도록 제한할 수 있습니다.

예를 들어, 다음 정책은 보안 주체가 해석기 규칙만 공유하도록 제한합니다.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "StringEqualsIfExists": {
                "ram:RequestedResourceType": "route53resolver:ResolverRule"
            }
        }
    }]
}

예 3: 외부 AWS 계정과의 공유 제한

IAM 정책을 사용하여 보안 주체가 AWS 조직 외부에 있는 AWS 계정과 리소스를 공유하지 못하도록 할 수 있습니다.

예를 들어, 다음 IAM 정책은 보안 주체가 리소스 공유에 외부 AWS 계정을 추가하지 못하도록 합니다.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": "ram:CreateResourceShare",
        "Resource": "*",
        "Condition": {
            "Bool": {
                "ram:RequestedAllowsExternalPrincipals": "false"
            }
        }
    }]
}