Prevención de uso compartido externo Restringir el uso compartido de recursos al los ID de cuenta específicos Evitar compartir con organizaciones o unidades organizativas (OU) Permitir el uso compartido solo con usuarios y roles de IAM especificados

SCP de ejemplo para AWS Resource Access Manager

Temas

Prevención de uso compartido externo
Restringir el uso compartido de recursos al los ID de cuenta específicos
Evitar compartir con organizaciones o unidades organizativas (OU)
Permitir el uso compartido solo con usuarios y roles de IAM especificados

Prevención de uso compartido externo

En el siguiente ejemplo, SCP evita que los usuarios creen recursos compartidos que permiten compartir con usuarios de IAM y roles que no forman parte de la organización.


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}

Restringir el uso compartido de recursos al los ID de cuenta específicos

La siguiente SCP permite cuentas 111111111111 y 222222222222 para crear recursos compartidos que compartan listas de prefijos y asociar listas de prefijos con recursos compartidos existentes.


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "OnlyNamedAccountsCanSharePrefixLists",
            "Effect": "Deny",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEquals": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}

Evitar compartir con organizaciones o unidades organizativas (OU)

La siguiente SCP impide que los usuarios creen recursos compartidos que comparten recursos con una organización u OU.


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}

Permitir el uso compartido solo con usuarios y roles de IAM especificados

El siguiente ejemplo de SCP permite a los usuarios compartir recursos con solamente la organización o-12345abcdef, unidad organizativa ou-98765fedcba, y cuenta 111111111111.


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "ram:Principal": [
                        "arn:aws:organizations::123456789012:organization/o-12345abcdef",
                        "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
                        "111111111111"
                    ]
                }
            }
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Amazon GuardDuty

ARC