Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Políticas de control de recursos en AWS KMS
Las políticas de control de recursos (RCPs) son un tipo de política organizacional que puede usar para aplicar controles preventivos a AWS los recursos de su organización. RCPs le ayudan a restringir de forma centralizada y a gran escala el acceso externo a sus AWS recursos. RCPs complementar las políticas de control de servicios (SCPs). Si bien se SCPs puede utilizar para establecer de forma centralizada los permisos máximos para las funciones y los usuarios de IAM de su organización, se RCPs puede utilizar para establecer de forma centralizada los permisos máximos sobre los AWS recursos de su organización.
Puede usarlo RCPs para administrar los permisos de las claves de KMS administradas por el cliente en su organización. RCPs por sí solos no son suficientes para conceder permisos a las claves administradas por el cliente. Un RCP no concede ningún permiso. Un RCP define una barrera de permisos o establece límites a las acciones que las identidades pueden realizar con los recursos de las cuentas afectadas. El administrador aún debe adjuntar políticas basadas en la identidad a las funciones o usuarios de IAM, o políticas clave para conceder realmente los permisos.
nota
Las políticas de control de recursos de su organización no se aplican a. Claves administradas por AWS
Claves administradas por AWS son creadas, administradas y utilizadas en su nombre por un AWS servicio; no puede cambiar ni administrar sus permisos.
Más información
-
Para obtener más información general RCPs, consulte las políticas de control de recursos en la Guía del AWS Organizations usuario.
-
Para obtener detalles sobre cómo definir RCPs, incluidos ejemplos, consulte la sintaxis de RCP en la Guía del AWS Organizations usuario.
En el siguiente ejemplo, se muestra cómo utilizar un RCP para impedir que los directores externos accedan a las claves gestionadas por los clientes de su organización. Esta política es solo un ejemplo y debe adaptarla para que se adapte a sus necesidades empresariales y de seguridad específicas. Por ejemplo, es posible que desee personalizar su política para permitir el acceso de sus socios comerciales. Para obtener más información, consulta el repositorio de ejemplos de políticas de perímetro de datos
nota
El kms:RetireGrant permiso no es efectivo en un RCP, incluso si el Action elemento especifica un asterisco (*) como comodín.
Para obtener más información sobre cómo kms:RetireGrant se determina el permiso para, consulte. Retiro y revocación de concesiones
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RCPEnforceIdentityPerimeter", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:PrincipalOrgID": "my-org-id" }, "Bool": { "aws:PrincipalIsAWSService": "false" } } } ] }
El siguiente ejemplo de RCP exige que los directores de AWS
servicio solo puedan acceder a las claves de KMS administradas por el cliente cuando la solicitud se origine en su organización. Esta política aplica el control solo a las solicitudes que estén presentes. aws:SourceAccount Esto garantiza que las integraciones de servicios que no requieren el uso de aws:SourceAccount no se vean afectadas. Si aws:SourceAccount está presente en el contexto de la solicitud, la Null condición se evalúa y hace que se aplique la aws:SourceOrgID clave. true
Para obtener más información sobre el problema del diputado confuso, consulte El problema del diputado confuso en la Guía del usuario de IAM.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RCPEnforceConfusedDeputyProtection", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:SourceOrgID": "my-org-id" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "Null": { "aws:SourceAccount": "false" } } } ] }
