翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の IAM ポリシーの例AWS RAM
このトピックでは、特定のリソースとリソースタイプの共有と共有の制限AWS RAMを示す の IAM ポリシーの例を示します。
例 1: 特定のリソースの共有を許可する
IAM アクセス許可ポリシーを使用して、特定のリソースのみをリソース共有に関連付けるようにプリンシパルを制限できます。
例えば、以下のポリシーでは、指定した Amazon リソースネーム (ARN) のリゾルバールールのみを共有するようにプリンシパルを制限しています。StringEqualsIfExists 演算子は、要求に ResourceArn パラメータが含まれていないか、またはパラメータが含まれている場合、値が指定された ARN と完全に一致する要求を許可します。
...IfExists 演算子を使用するタイミングと理由の詳細については、「IAM ユーザーズガイド」の「...IfExists 条件演算子」を参照してください。
例 2: 特定のリソースタイプの共有を許可する
IAM ポリシーを使用して、特定のリソースのみをリソース共有に関連付けるようにプリンシパルを限定できます。
アクション AssociateResourceShare および CreateResourceShare は、プリンシパルおよび resourceArns を独立した入力パラメータとして受け入れることができます。したがって、 は各プリンシパルとリソースを個別にAWS RAM承認するため、複数のリクエストコンテキストが存在する可能性があります。つまり、プリンシパルがAWS RAMリソース共有に関連付けられている場合、ram:RequestedResourceType 条件キーはリクエストコンテキストに存在しません。同様に、リソースがAWS RAMリソース共有に関連付けられている場合、ram:Principal 条件キーはリクエストコンテキストに存在しません。したがって、プリンシパルをAWS RAMリソース共有に関連付けるCreateResourceShareときに AssociateResourceShareと を許可するには、 Null条件演算子を使用できます。
たとえば、次のポリシーでは、プリンシパルを Amazon Route 53 Resolver ルールのみ共有できるように制限し、プリンシパルをその共有に関連付けることができます。
例 3: 外部との共有を制限するAWS アカウント
IAM ポリシーを使用して、プリンシパルAWS アカウントがAWS組織外の とリソースを共有できないようにすることができます。
たとえば、次の IAM ポリシーは、プリンシパルがリソース共有AWS アカウントに外部を追加できないようにします。
