Ejemplo de políticas de IAM para AWS RAM - AWS Resource Access Manager
Permitir el uso compartido de recursos específicosPermitir el uso compartido de tipos de recursos específicosRestrinja el intercambio con fuentes externas Cuentas de AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplo de políticas de IAM para AWS RAM

En este tema se incluyen ejemplos de políticas de IAM AWS RAM que muestran cómo compartir recursos y tipos de recursos específicos y cómo restringir el uso compartido.

Ejemplo 1: Permitir el uso compartido de recursos específicos

Puede usar una política de permisos de IAM para restringir las entidades principales y asociar solo determinados recursos a recursos compartidos.

Por ejemplo, la siguiente política permite restringir las entidades principales para que compartan la regla de solucionador con el nombre de recurso de Amazon (ARN) especificado. El operador StringEqualsIfExists permite una solicitud si la solicitud no incluye un parámetro ResourceArn o, si incluye dicho parámetro, si su valor coincide exactamente con el ARN especificado.

Para obtener más información sobre cuándo y por qué usar ...IfExists operadores, consulte... IfExists condicione los operadores en la Guía del usuario de IAM.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "StringEqualsIfExists": {
                "ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample"
            }
        }
    }]
}

Ejemplo 2: Permitir el uso compartido de tipos de recursos específicos

Puede usar una política de IAM para restringir las entidades principales y asociar solo determinados tipos de recursos a los recursos compartidos.

Las acciones, AssociateResourceShare y CreateResourceShare, pueden aceptar entidades principales y resourceArns como parámetros de entrada independientes. Por lo tanto,AWS RAM autoriza cada principal y cada recurso de forma independiente, por lo que puede haber varios contextos de solicitud. Esto significa que cuando una entidad principal se asocia a un recurso compartido de AWS RAM, la clave de condición de ram:RequestedResourceType no está presente en el contexto de la solicitud. Del mismo modo, cuando se asocia un recurso a un recurso compartido de AWS RAM, la clave de condición de ram:Principal no está presente en el contexto de la solicitud. Por lo tanto, para permitir AssociateResourceShare y CreateResourceShare asociar los principales al AWS RAM recurso compartido, puede utilizar el Null operador de condición.

Por ejemplo, la siguiente política solo permite a las entidades principales compartir reglas de Amazon Route 53 Resolver y les permite asociar cualquier entidad principal a ese recurso compartido.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Sid": "AllowOnlySpecificResourceType",
        "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "ram:RequestedResourceType": "route53resolver:ResolverRule"
            }
        }
    },
    {
    "Sid": "AllowAssociatingPrincipals",
     "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "Null": {
                "ram:Principal": "false"
             }
        }
    }
  ]
}

Ejemplo 3: Restringir el uso compartido con fuentes externas Cuentas de AWS

Puede utilizar una política de IAM para evitar que los directores compartan recursos con personas Cuentas de AWS ajenas a su AWS organización.

Por ejemplo, la siguiente política de IAM impide que los directores agreguen recursos externos Cuentas de AWS a los recursos compartidos.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": "ram:CreateResourceShare",
        "Resource": "*",
        "Condition": {
            "Bool": {
                "ram:RequestedAllowsExternalPrincipals": "false"
            }
        }
    }]
}