

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 的範例 IAM 政策 AWS RAM
<a name="security-iam-policies-examples"></a>

本主題包含 的 IAM 政策範例 AWS RAM ，示範共用特定資源和資源類型和限制共用。

**Topics**
+ [允許共用特定資源](#owner-share-specific-resources)
+ [允許共用特定資源類型](#owner-share-resource-types)
+ [限制與外部 共用 AWS 帳戶](#control-access-owner-external)

## 範例 1：允許共用特定資源
<a name="owner-share-specific-resources"></a>

您可以使用 IAM 許可政策來限制主體僅將特定資源與資源共用建立關聯。

例如，下列政策限制主體只能與指定的 Amazon Resource Name (ARN) 共用解析程式規則。如果請求不包含`ResourceArn`參數，或者如果該請求包含該參數，則運算子`StringEqualsIfExists`允許請求，該值完全符合指定的 ARN。

 如需何時和為何使用`...IfExists`運算子的詳細資訊，請參閱 [...《IAM 使用者指南》中的 IfExists 條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists)。 **

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "StringEqualsIfExists": {
                "ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample"
            }
        }
    }]
}
```

------

## 範例 2：允許共用特定資源類型
<a name="owner-share-resource-types"></a>

您可以使用 IAM 政策來限制主體僅將特定資源類型與資源共用建立關聯。

動作 `AssociateResourceShare`和 `CreateResourceShare`可接受主體 和 `resourceArns`做為獨立輸入參數。因此， 會獨立 AWS RAM 授權每個委託人和資源，因此可能會有多個[請求內容](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval-reqcontext.html)。這表示當委託人與 AWS RAM 資源共享相關聯時，`ram:RequestedResourceType`條件索引鍵不存在於請求內容中。同樣地，當資源與 AWS RAM 資源共享相關聯時，`ram:Principal`條件索引鍵不存在於請求內容中。因此，若要允許 `AssociateResourceShare`和 將主體與 AWS RAM 資源共用建立`CreateResourceShare`關聯，您可以使用 [`Null`條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Null)。

例如，下列政策會將主體限制為僅共用 Amazon Route 53 解析程式規則，並允許他們將任何主體與該共用建立關聯。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Sid": "AllowOnlySpecificResourceType",
        "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "ram:RequestedResourceType": "route53resolver:ResolverRule"
            }
        }
    },
    {
    "Sid": "AllowAssociatingPrincipals",
     "Effect": "Allow",
        "Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
        "Resource": "*",
        "Condition": {
            "Null": {
                "ram:Principal": "false"
             }
        }
    }
  ]
}
```

------

## 範例 3：限制與外部 共用 AWS 帳戶
<a name="control-access-owner-external"></a>

您可以使用 IAM 政策來防止主體與其 AWS 組織外部 AWS 帳戶 的 共用資源。

例如，下列 IAM 政策可防止主體 AWS 帳戶 在資源共用之外新增 。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": "ram:CreateResourceShare",
        "Resource": "*",
        "Condition": {
            "Bool": {
                "ram:RequestedAllowsExternalPrincipals": "false"
            }
        }
    }]
}
```

------