適用於 AWS RAM 的範例 IAM 政策 - AWS Resource Access Manager
允許共用特定資源允許共用特定資源類型限制與外部共享 AWS 帳戶

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

適用於 AWS RAM 的範例 IAM 政策

本主題包含 IAM 政策範例,AWS RAM說明共用特定資源和資源類型,以及限制共用。

範例 1:允許共用特定資源

您可以使用 IAM 權限政策限制主體僅將特定資源與資源共用關聯。

例如,下列政策將主體限制為僅與指定的 Amazon 資源名稱 (ARN) 共用解析器規則。如果請求不包含ResourceArn參數,或者如果請求包含該參數,則運算符StringEqualsIfExists允許請求,它的值與指定的 ARN 完全匹配。

有關何時以及為什麼使用...IfExists運算符的更多信息,請參閱... IfExistsIAM 使用者指南中的條件運算子

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "StringEqualsIfExists": {
                "ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample"
            }
        }
    }]
}

範例 2:允許共用特定資源類型

您可以使用 IAM 政策限制主體僅將特定資源類型與資源共用關聯。

例如,下列原則將主參與者限制為僅共用解析器規則。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "StringEqualsIfExists": {
                "ram:RequestedResourceType": "route53resolver:ResolverRule"
            }
        }
    }]
}

範例 3:限制與外部共用 AWS 帳戶

您可以使用 IAM 政策來防止主體與AWS 帳戶其AWS組織外部人員共用資源。

例如,下列 IAM 政策可防止主體將外部新增AWS 帳戶至資源共用。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": "ram:CreateResourceShare",
        "Resource": "*",
        "Condition": {
            "Bool": {
                "ram:RequestedAllowsExternalPrincipals": "false"
            }
        }
    }]
}