AWS Resource Access Manager에 대한 SCP 예제
외부 공유 방지
다음 SCP 예제는 사용자가 조직에 속하지 않은 IAM 사용자 및 역할과의 공유를 허용하는 리소스 공유를 만들지 못하도록 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:UpdateResourceShare" ], "Resource": "*", "Condition": { "Bool": { "ram:RequestedAllowsExternalPrincipals": "true" } } } ] }
특정 계정 ID로 리소스 공유를 제한
다음 SCP는 111111111111 및 222222222222 계정이 접두사 목록을 공유하는 리소스 공유를 만들고 접두사 목록을 기존 리소스 공유와 연결할 수 있도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "OnlyNamedAccountsCanSharePrefixLists", "Effect": "Deny", "Action": [ "ram:AssociateResourceShare", "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalAccount": [ "111111111111", "222222222222" ] }, "StringEquals": { "ram:RequestedResourceType": "ec2:PrefixList" } } } ] }
조직 또는 조직 단위(OU)와의 공유 금지
다음 SCP는 사용자가 조직 또는 OU와 리소스를 공유하는 리소스 공유를 생성하지 못하도록 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare" ], "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "ram:Principal": [ "arn:aws:organizations::*:organization/*", "arn:aws:organizations::*:ou/*" ] } } } ] }
지정된 IAM 사용자 및 역할과의 공유만 허용
다음 SCP 예제는 사용자에게 조직 o-12345abcdef, 조직 단위 ou-98765fedcba, 계정 111111111111과의 리소스 공유만을 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ram:AssociateResourceShare", "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "ram:Principal": [ "arn:aws:organizations::123456789012:organization/o-12345abcdef", "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba", "111111111111" ] } } } ] }
