翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の IAM ポリシーの例 AWS RAM
このトピックでは、特定のリソースとリソースタイプの共有と共有の制限 AWS RAM を示す の IAM ポリシーの例を示します。
例 1: 特定のリソースの共有を許可する
IAM アクセス許可ポリシーを使用して、特定のリソースのみをリソース共有に関連付けるようにプリンシパルを制限できます。
例えば、以下のポリシーでは、指定した Amazon リソースネーム (ARN) のリゾルバールールのみを共有するようにプリンシパルを制限しています。StringEqualsIfExists 演算子は、要求に ResourceArn パラメータが含まれていないか、またはパラメータが含まれている場合、値が指定された ARN と完全に一致する要求を許可します。
...IfExists 演算子を使用するタイミングと理由の詳細については、「IAM ユーザーズガイド」の「...IfExists 条件演算子」を参照してください。
例 2: 特定のリソースタイプの共有を許可する
IAM ポリシーを使用して、特定のリソースのみをリソース共有に関連付けるようにプリンシパルを限定できます。
アクション AssociateResourceShareおよび CreateResourceShareは、プリンシパル および を独立した入力パラメータresourceArnsとして受け入れることができます。したがって、 は各プリンシパルとリソースを個別に AWS RAM 承認するため、複数のリクエストコンテキストが存在する可能性があります。つまり、プリンシパルが AWS RAM リソース共有に関連付けられている場合、ram:RequestedResourceType条件キーはリクエストコンテキストに存在しません。同様に、リソースが AWS RAM リソース共有に関連付けられている場合、ram:Principal条件キーはリクエストコンテキストに存在しません。したがって、プリンシパルを AWS RAM リソース共有に関連付けるCreateResourceShareときに AssociateResourceShareと を許可するには、 Null条件演算子を使用できます。
たとえば、次のポリシーでは、プリンシパルを Amazon Route 53 リゾルバールールのみ共有に制限し、プリンシパルをその共有に関連付けることができます。
例 3: 外部との共有を制限する AWS アカウント
IAM ポリシーを使用して、プリンシパルが AWS 組織外の AWS アカウント とリソースを共有できないようにすることができます。
たとえば、次の IAM ポリシーは、プリンシパルがリソース共有 AWS アカウント に外部を追加できないようにします。
