翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# の IAM ポリシーの例 AWS RAM
<a name="security-iam-policies-examples"></a>

このトピックでは、特定のリソースとリソースタイプの共有と共有の制限 AWS RAM を示す の IAM ポリシーの例を示します。

**Topics**
+ [特定のリソースの共有を許可する](#owner-share-specific-resources)
+ [特定のリソースタイプの共有を許可する](#owner-share-resource-types)
+ [外部との共有を制限する AWS アカウント](#control-access-owner-external)

## 例 1: 特定のリソースの共有を許可する
<a name="owner-share-specific-resources"></a>

IAM アクセス許可ポリシーを使用して、特定のリソースのみをリソース共有に関連付けるようにプリンシパルを制限できます。

例えば、以下のポリシーでは、指定した Amazon リソースネーム (ARN) のリゾルバールールのみを共有するようにプリンシパルを制限しています。`StringEqualsIfExists` 演算子は、要求に `ResourceArn` パラメータが含まれていないか、またはパラメータが含まれている場合、値が指定された ARN と完全に一致する要求を許可します。

 `...IfExists` 演算子を使用するタイミングと理由の詳細については、「**IAM ユーザーズガイド」の「[...IfExists 条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists)」を参照してください。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "StringEqualsIfExists": {
                "ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample"
            }
        }
    }]
}
```

------

## 例 2: 特定のリソースタイプの共有を許可する
<a name="owner-share-resource-types"></a>

IAM ポリシーを使用して、特定のリソースのみをリソース共有に関連付けるようにプリンシパルを限定できます。

アクション `AssociateResourceShare` および `CreateResourceShare` は、プリンシパルおよび `resourceArns` を独立した入力パラメータとして受け入れることができます。したがって、 は各プリンシパルとリソースを個別に AWS RAM 承認するため、複数の[リクエストコンテキスト](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval-reqcontext.html)が存在する可能性があります。つまり、プリンシパルが AWS RAM リソース共有に関連付けられている場合、`ram:RequestedResourceType` 条件キーはリクエストコンテキストに存在しません。同様に、リソースが AWS RAM リソース共有に関連付けられている場合、`ram:Principal` 条件キーはリクエストコンテキストに存在しません。したがって、プリンシパルを AWS RAM リソース共有に関連付ける`CreateResourceShare`ときに `AssociateResourceShare`と を許可するには、 [`Null`条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Null)を使用できます。

たとえば、次のポリシーでは、プリンシパルを Amazon Route 53 Resolver ルールのみ共有できるように制限し、プリンシパルをその共有に関連付けることができます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Sid": "AllowOnlySpecificResourceType",
        "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "ram:RequestedResourceType": "route53resolver:ResolverRule"
            }
        }
    },
    {
    "Sid": "AllowAssociatingPrincipals",
     "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "Null": {
                "ram:Principal": "false"
             }
        }
    }
  ]
}
```

------

## 例 3: 外部との共有を制限する AWS アカウント
<a name="control-access-owner-external"></a>

IAM ポリシーを使用して、プリンシパル AWS アカウント が AWS 組織外の とリソースを共有できないようにすることができます。

たとえば、次の IAM ポリシーは、プリンシパルがリソース共有 AWS アカウント に外部を追加できないようにします。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": "ram:CreateResourceShare",
        "Resource": "*",
        "Condition": {
            "Bool": {
                "ram:RequestedAllowsExternalPrincipals": "false"
            }
        }
    }]
}
```

------