本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
的範例 IAM 政策 AWS RAM
本主題包含 的 IAM 政策範例 AWS RAM ,示範共用特定資源和資源類型和限制共用。
範例 1:允許共用特定資源
您可以使用 IAM 許可政策來限制主體僅將特定資源與資源共用建立關聯。
例如,下列政策限制主體只能與指定的 Amazon Resource Name (ARN) 共用解析程式規則。如果請求不包含 ResourceArn 參數,或者如果該請求包含該參數,則運算子StringEqualsIfExists允許該請求,其值完全符合指定的 ARN。
如需何時及為何使用...IfExists運算子的詳細資訊,請參閱 ...《IAM 使用者指南》中的 IfExists 條件運算子。
- JSON
-
-
{
"Version": "2012-10-17" ,
"Statement": [{
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample"
}
}
}]
}
範例 2:允許共用特定資源類型
您可以使用 IAM 政策來限制主體僅將特定資源類型與資源共用建立關聯。
動作 AssociateResourceShare和 CreateResourceShare可接受主體 和 resourceArns做為獨立輸入參數。因此, 會獨立 AWS RAM 授權每個委託人和資源,因此可能會有多個請求內容。這表示當委託人與 AWS RAM 資源共享相關聯時,ram:RequestedResourceType條件索引鍵不存在於請求內容中。同樣地,當資源與 AWS RAM 資源共享相關聯時,ram:Principal條件索引鍵不存在於請求內容中。因此,若要允許 AssociateResourceShare和 將主體與 AWS RAM 資源共用建立關聯CreateResourceShare時,您可以使用 Null條件運算子。
例如,下列政策限制主體僅共用 Amazon Route 53 解析程式規則,並允許他們將任何主體與該共用建立關聯。
- JSON
-
-
{
"Version": "2012-10-17" ,
"Statement": [{
"Sid": "AllowOnlySpecificResourceType",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:RequestedResourceType": "route53resolver:ResolverRule"
}
}
},
{
"Sid": "AllowAssociatingPrincipals",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"Null": {
"ram:Principal": "false"
}
}
}
]
}
範例 3:限制與外部 共用 AWS 帳戶
您可以使用 IAM 政策來防止主體與其 AWS 組織外部 AWS 帳戶 的 共用資源。
例如,下列 IAM 政策可防止主體 AWS 帳戶 在資源共用之外新增 。
- JSON
-
-
{
"Version": "2012-10-17" ,
"Statement": [{
"Effect": "Allow",
"Action": "ram:CreateResourceShare",
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "false"
}
}
}]
}
