Richtlinien zur Ressourcenkontrolle in AWS KMS - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinien zur Ressourcenkontrolle in AWS KMS

Ressourcenkontrollrichtlinien (RCPs) sind eine Art von Unternehmensrichtlinie, mit der Sie präventive Kontrollen für AWS Ressourcen in Ihrem Unternehmen durchsetzen können. RCPshelfen Ihnen dabei, den externen Zugriff auf Ihre AWS Ressourcen zentral und in großem Umfang einzuschränken. RCPsergänzen die Richtlinien zur Servicekontrolle (SCPs). SCPsKann zwar verwendet werden, um die maximalen Berechtigungen für die IAM Rollen und Benutzer in Ihrer Organisation zentral festzulegen, RCPs kann aber auch verwendet werden, um die maximalen Berechtigungen für AWS Ressourcen in Ihrer Organisation zentral festzulegen.

Sie können es verwendenRCPs, um die Berechtigungen für die vom Kunden verwalteten KMS Schlüssel in Ihrer Organisation zu verwalten. RCPsallein reichen nicht aus, um Ihren vom Kunden verwalteten Schlüsseln Berechtigungen zu erteilen. Es werden keine Berechtigungen von einem erteiltRCP. An RCP definiert eine Berechtigungsschranke oder legt Grenzwerte für die Aktionen fest, die Identitäten mit Ressourcen in den betroffenen Konten ausführen können. Der Administrator muss IAM Rollen oder Benutzern weiterhin identitätsbasierte Richtlinien oder wichtige Richtlinien zuordnen, um tatsächlich Berechtigungen zu erteilen.

Anmerkung

Die Richtlinien zur Ressourcenkontrolle in Ihrer Organisation gelten nicht für. Von AWS verwaltete Schlüssel

Von AWS verwaltete Schlüssel werden in Ihrem Namen von einem AWS Dienst erstellt, verwaltet und verwendet, dessen Berechtigungen Sie nicht ändern oder verwalten können.

Weitere Informationen

  • Weitere allgemeine Informationen dazu RCPs finden Sie im AWS Organizations Benutzerhandbuch unter Richtlinien zur Ressourcenkontrolle.

  • Einzelheiten zur DefinitionRCPs, einschließlich Beispielen, finden Sie unter RCPSyntax im AWS Organizations Benutzerhandbuch.

Das folgende Beispiel zeigt, wie Sie mithilfe von verhindern könnenRCP, dass externe Prinzipale auf vom Kunden verwaltete Schlüssel in Ihrer Organisation zugreifen. Diese Richtlinie ist nur ein Beispiel, und Sie sollten sie an Ihre individuellen Geschäfts- und Sicherheitsanforderungen anpassen. Möglicherweise möchten Sie Ihre Richtlinie so anpassen, dass Ihre Geschäftspartner darauf zugreifen können. Weitere Informationen finden Sie im Repository mit Beispielen für Datenperimeter-Richtlinien.

Anmerkung

Die kms:RetireGrant Berechtigung ist in einem nicht wirksamRCP, auch wenn das Action Element ein Sternchen (*) als Platzhalter angibt.

Weitere Hinweise dazu, wie die Berechtigung für bestimmt kms:RetireGrant wird, finden Sie unter. Außerbetriebnahme und Widerruf von Erteilungen

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RCPEnforceIdentityPerimeter",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "kms:*",
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:PrincipalOrgID": "my-org-id"
                },
                "Bool": {
                    "aws:PrincipalIsAWSService": "false"
                }
            }
        }
    ]
}

Das folgende Beispiel RCP erfordert, dass AWS Service Principals nur dann auf Ihre vom Kunden verwalteten KMS Schlüssel zugreifen können, wenn die Anfrage von Ihrer Organisation stammt. Diese Richtlinie wendet die Kontrolle nur auf Anfragen an, die vorhanden sindaws:SourceAccount. Dadurch wird sichergestellt, dass Serviceintegrationen, für die keine Verwendung von erforderlich ist, aws:SourceAccount nicht beeinträchtigt werden. Wenn im Anforderungskontext vorhanden aws:SourceAccount ist, wird die Null Bedingung als 0 ausgewertettrue, wodurch der aws:SourceOrgID Schlüssel erzwungen wird.

Weitere Informationen zum Problem mit dem verwirrten Stellvertreter finden Sie unter Das Problem mit dem verwirrten Stellvertreter im IAMBenutzerhandbuch.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RCPEnforceConfusedDeputyProtection",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "kms:*",
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:SourceOrgID": "my-org-id"
                },
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                },
                "Null": {
                    "aws:SourceAccount": "false"
                }
            }
        }
    ]
}