Exemplo de SCPs para o AWS Resource Access Manager - AWS Organizations

Exemplo de SCPs para o AWS Resource Access Manager

Evitar compartilhamento externo

O exemplo a seguir, a SCP impede que os usuários criem compartilhamentos de recursos que permitem o compartilhamento com usuários e funções do IAM que não fazem parte da organização.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:UpdateResourceShare" ], "Resource": "*", "Condition": { "Bool": { "ram:RequestedAllowsExternalPrincipals": "true" } } } ] }

Permitir que contas específicas compartilhem apenas tipos de recursos especificados

A SCP a seguir permite que contas 111111111111 e 222222222222 criem compartilhamentos de recursos que compartilham listas de prefixos e associar listas de prefixos a compartilhamentos de recursos existentes.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "OnlyNamedAccountsCanSharePrefixLists", "Effect": "Deny", "Action": [ "ram:AssociateResourceShare", "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalAccount": [ "111111111111", "222222222222" ] }, "StringEquals": { "ram:RequestedResourceType": "ec2:PrefixList" } } } ] }

Evitar o compartilhamento com organizações ou unidades organizacionais (UOs)

A SCP a seguir impede que os usuários criem compartilhamentos de recursos que compartilham recursos com uma organização ou UOs do AWS.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare" ], "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "ram:Principal": [ "arn:aws:organizations::*:organization/*", "arn:aws:organizations::*:ou/*" ] } } } ] }

Permitir o compartilhamento com apenas usuários e funções do IAM especificados

O exemplo a seguir, a SCP permite que os usuários compartilhem recursos apenas com organização o-12345abcdef, unidade organizacionalou-98765fedcba, e conta 111111111111.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ram:AssociateResourceShare", "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "ForAnyValue:StringNotEquals": { "ram:Principal": [ "arn:aws:organizations::123456789012:organization/o-12345abcdef", "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba", "111111111111" ] } } } ] }