AWS Organizations 和 的服務控制政策範例 AWS RAM - AWS Resource Access Manager
必要條件服務控制政策的範例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Organizations 和 的服務控制政策範例 AWS RAM

AWS RAM 支援服務控制政策 (SCPs)。SCPs 是您附加到組織中元素的政策,以管理該組織中的許可。SCP 會套用至 AWS 帳戶 您連接 之 元素下的所有 SCP。SCPs 可讓您集中控制組織中所有帳戶的可用許可上限。他們可以協助您確保 AWS 帳戶 遵守組織的存取控制準則。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的服務控制政策

必要條件

若要使用 SCPs,您必須先執行下列動作:

  • 啟用您組織的所有功能。如需詳細資訊,請參閱 AWS Organizations 使用者指南中的啟用組織中的所有功能

  • 啟用 SCPs以在組織內使用。如需詳細資訊,請參閱 AWS Organizations 使用者指南中的啟用和停用政策類型

  • 建立您需要SCPs的 。如需建立 的詳細資訊SCPs,請參閱 AWS Organizations 使用者指南 中的建立和更新SCPs

服務控制政策的範例

下列範例展示您可以如何控制組織中資源共享的各個層面。

範例 1:防止外部共用

下列SCP內容可防止使用者建立允許與共用使用者組織外部的主體共用的資源共用。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}

範例 2:防止使用者接受來自組織外部帳戶的資源共用邀請

下列內容會SCP阻止受影響帳戶中的任何主體接受使用資源共用的邀請。與共用帳戶共用到相同組織中其他帳戶的資源共用不會產生邀請,因此不受此 影響SCP。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ram:AcceptResourceShareInvitation",
            "Resource": "*"
        }
    ]
}

範例 3:允許特定帳戶共用特定資源類型

下列SCP僅允許 帳戶111111111111222222222222 建立新的資源共用,以共用 Amazon EC2字首清單或將字首清單與現有資源共用建立關聯。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEqualsIfExists": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}

範例 4:防止與整個組織或組織單位共用

下列SCP內容可防止使用者建立與整個組織或任何組織單位共用資源的資源共用。使用者可以與 AWS 帳戶 組織中的個人共用,也可以與IAM角色或使用者共用。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}

範例 5:僅允許與特定主體共用

下列範例SCP允許使用者與組織o-12345abcdef,組織單位 ou-98765fedcba、 和 AWS 帳戶 共用資源111111111111

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ram:AssociateResourceShare",
        "ram:CreateResourceShare"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "ram:Principal": [
            "arn:aws:organizations::123456789012:organization/o-12345abcdef",
            "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
            "111111111111"
          ]
        },
        "Null": {
          "ram:Principal": "false"
        }
      }
    }
  ]
}