本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
適用於 AWS RAM 的範例 IAM 政策
本主題包含 IAM 政策範例,AWS RAM說明共用特定資源和資源類型,以及限制共用。
IAM 政策的範例
範例 1:允許共用特定資源
您可以使用 IAM 權限政策限制主體僅將特定資源與資源共用關聯。
例如,下列政策將主體限制為僅與指定的 Amazon 資源名稱 (ARN) 共用解析器規則。如果請求不包含ResourceArn
參數,或者如果請求包含該參數,則運算符StringEqualsIfExists
允許請求,它的值與指定的 ARN 完全匹配。
有關何時以及為什麼使用...IfExists
運算符的更多信息,請參閱... IfExistsIAM 使用者指南中的條件運算子。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"], "Resource": "*", "Condition": { "StringEqualsIfExists": { "ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample" } } }] }
範例 2:允許共用特定資源類型
您可以使用 IAM 政策限制主體僅將特定資源類型與資源共用關聯。
例如,下列原則將主參與者限制為僅共用解析器規則。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"], "Resource": "*", "Condition": { "StringEqualsIfExists": { "ram:RequestedResourceType": "route53resolver:ResolverRule" } } }] }
範例 3:限制與外部共用 AWS 帳戶
您可以使用 IAM 政策來防止主體與AWS 帳戶其AWS組織外部人員共用資源。
例如,下列 IAM 政策可防止主體將外部新增AWS 帳戶至資源共用。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ram:CreateResourceShare", "Resource": "*", "Condition": { "Bool": { "ram:RequestedAllowsExternalPrincipals": "false" } } }] }