Ejemplos de políticas de control de servicios para AWS Organizations y AWS RAM - AWS Resource Access Manager
Requisitos previosEjemplo de políticas de control de servicios

Ejemplos de políticas de control de servicios para AWS Organizations y AWS RAM

AWS RAM admite políticas de control de servicios (SCP). Las SCP son políticas que se asocian a elementos de una organización para administrar los permisos dentro de esa organización. Una SCP se aplica a todas las Cuentas de AWS incluidas en el elemento al que se asocia la SCP. Las políticas de control de servicios (SCP) permiten un control centralizado de los máximos permisos disponibles para todas las cuentas de la organización. Le ayudan a asegurarse de que sus Cuentas de AWS cumplan en todo momento las directrices de control de acceso de la organización. Para obtener más información, consulte Políticas de control de servicios en la Guía del usuario de AWS Organizations.

Requisitos previos

Para usar políticas de control de servicios, primero debe hacer lo siguiente:

Ejemplo de políticas de control de servicios

Los siguientes ejemplos le muestran cómo puede controlar varios aspectos del uso compartido de recursos en una organización.

Ejemplo 1: Impedir la posibilidad de compartir externamente

La siguiente SCP evita que los usuarios puedan crear recursos compartidos que permitan compartir con entidades principales externas a la organización del usuario que comparte.

AWS RAM autoriza las API por separado para cada entidad principal y recurso incluidos en la llamada.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:UpdateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ram:RequestedAllowsExternalPrincipals": "true"
                }
            }
        }
    ]
}

Ejemplo 2: Impedir que los usuarios acepten invitaciones a recursos compartidos desde cuentas externas a la organización

La siguiente SCP impide que cualquier entidad principal de una cuenta afectada acepte una invitación para usar un recurso compartido. Los recursos compartidos que se comparten con otras cuentas de la misma organización que la cuenta que los comparte no generan invitaciones y, por lo tanto, no se ven afectados por esta SCP.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ram:AcceptResourceShareInvitation",
            "Resource": "*"
        }
    ]
}

Ejemplo 3: Permitir que determinadas cuentas compartan tipos de recursos específicos

La siguiente SCP permite que solo las cuentas 111111111111 y 222222222222 creen nuevos recursos compartidos que compartan listas de prefijos de Amazon EC2 o listas de prefijos asociadas con recursos compartidos existentes.

AWS RAM autoriza las API por separado para cada entidad principal y recurso incluidos en la llamada.

El operador StringEqualsIfExists permite una solicitud si la solicitud no incluye un parámetro de tipo de recurso o, si incluye ese parámetro, si su valor coincide exactamente con el tipo de recurso especificado. Si incluye una entidad principal, debe tener ...IfExists.

Para obtener más información sobre cuándo y por qué usar operadores ...IfExists, consulte Operadores de condición ...IfExists en la Guía del usuario de IAM.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:AssociateResourceShare",
                "ram:CreateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalAccount": [
                        "111111111111",
                        "222222222222"
                    ]
                },
                "StringEqualsIfExists": {
                    "ram:RequestedResourceType": "ec2:PrefixList"
                }
            }
        }
    ]
}

Ejemplo 4: Impedir que se comparta con toda la organización o con unidades organizativas

La siguiente SCP impide que los usuarios creen recursos compartidos que compartan recursos con toda una organización o con cualquier unidad organizativa. Los usuarios pueden compartir con Cuentas de AWS concretas de la organización, o bien con roles o usuarios de IAM.

AWS RAM autoriza las API por separado para cada entidad principal y recurso incluidos en la llamada.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ram:CreateResourceShare",
                "ram:AssociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ram:Principal": [
                        "arn:aws:organizations::*:organization/*",
                        "arn:aws:organizations::*:ou/*"
                    ]
                }
            }
        }
    ]
}

Ejemplo 5: Permitir compartir solo con determinadas entidades principales

La siguiente SCP de ejemplo permite a los usuarios compartir recursos solo una organización o-12345abcdef,, una unidad organizativa ou-98765fedcba, y una Cuenta de AWS 111111111111.

Si utiliza un elemento "Effect": "Deny" con un operador de condición negada, como StringNotEqualsIfExists, la solicitud se seguirá denegando aunque la clave de condición no se encuentre presente. Utilice un operador de condición Null para comprobar si una clave de condición está ausente en el momento de la autorización.

AWS RAM autoriza las API por separado para cada entidad principal y recurso incluidos en la llamada.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ram:AssociateResourceShare",
        "ram:CreateResourceShare"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "ram:Principal": [
            "arn:aws:organizations::123456789012:organization/o-12345abcdef",
            "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
            "111111111111"
          ]
        },
        "Null": {
          "ram:Principal": "false"
        }
      }
    }
  ]
}