Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Políticas de control de recursos en AWS KMS
Las políticas de control de recursos (RCPs) son un tipo de política organizacional que puede usar para aplicar controles preventivos a AWS los recursos de su organización. RCPsle ayudan a restringir de forma centralizada y a gran escala el acceso externo a sus AWS recursos. RCPscomplementar las políticas de control de servicios (SCPs). Si bien se SCPs puede utilizar para establecer de forma centralizada los permisos máximos para las IAM funciones y los usuarios de la organización, se RCPs puede utilizar para establecer de forma centralizada los permisos máximos sobre AWS los recursos de la organización.
Puede usarlo RCPs para administrar los permisos de las KMS claves administradas por el cliente en su organización. RCPspor sí solos no son suficientes para conceder permisos a las claves gestionadas por el cliente. UnRCP. An RCP define una barrera de permisos o establece límites a las acciones que las identidades pueden realizar con los recursos de las cuentas afectadas. El administrador aún debe adjuntar políticas basadas en la identidad a los IAM roles o usuarios, o políticas clave para conceder realmente los permisos.
nota
Las políticas de control de recursos de su organización no se aplican a. Claves administradas por AWS
Claves administradas por AWS son creadas, administradas y utilizadas en su nombre por un AWS servicio; no puede cambiar ni administrar sus permisos.
Más información
-
Para obtener más información generalRCPs, consulte las políticas de control de recursos en la Guía del AWS Organizations usuario.
-
Para obtener más información sobre cómo definirlasRCPs, incluidos ejemplos, consulte la RCPsintaxis de la Guía del AWS Organizations usuario.
En el siguiente ejemplo, se muestra cómo utilizar una RCP para evitar que los directores externos accedan a las claves gestionadas por los clientes en su organización. Esta política es solo un ejemplo y debe adaptarla para que se adapte a sus necesidades empresariales y de seguridad específicas. Por ejemplo, es posible que desee personalizar su política para permitir el acceso de sus socios comerciales. Para obtener más información, consulta el repositorio de ejemplos de políticas de perímetro de datos
nota
El kms:RetireGrant permiso no es efectivo en unRCP, incluso si el Action elemento especifica un asterisco (*) como comodín.
Para obtener más información sobre cómo kms:RetireGrant se determina el permiso para, consulte. Retiro y revocación de concesiones
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RCPEnforceIdentityPerimeter", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:PrincipalOrgID": "my-org-id" }, "Bool": { "aws:PrincipalIsAWSService": "false" } } } ] }
El siguiente ejemplo RCP requiere que los directores de AWS
servicio solo puedan acceder a KMS las claves administradas por el cliente cuando la solicitud se origine en su organización. Esta política aplica el control solo a las solicitudes que aws:SourceAccount estén presentes. Esto garantiza que las integraciones de servicios que no requieren el uso de aws:SourceAccount no se vean afectadas. Si aws:SourceAccount está presente en el contexto de la solicitud, la Null condición se evalúa y hace que se aplique la aws:SourceOrgID clave. true
Para obtener más información sobre el problema del diputado confuso, consulte El problema del diputado confuso en la Guía del IAM usuario.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RCPEnforceConfusedDeputyProtection", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:SourceOrgID": "my-org-id" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "Null": { "aws:SourceAccount": "false" } } } ] }
