Politiques de contrôle des ressources dans AWS KMS

Les politiques de contrôle des ressources (RCPs) sont un type de politique d'entreprise que vous pouvez utiliser pour appliquer des contrôles préventifs sur AWS les ressources de votre organisation. RCPsvous aider à restreindre de manière centralisée l'accès externe à vos AWS ressources à grande échelle. RCPscompléter les politiques de contrôle des services (SCPs). Bien que cela SCPs puisse être utilisé pour définir de manière centralisée les autorisations maximales sur les IAM rôles et les utilisateurs de votre organisation, il RCPs peut être utilisé pour définir de manière centralisée les autorisations maximales sur les AWS ressources de votre organisation.

Vous pouvez l'utiliser RCPs pour gérer les autorisations relatives aux KMS clés gérées par les clients dans votre organisation. RCPsne suffisent pas à elles seules à accorder des autorisations aux clés gérées par vos clients. Aucune autorisation n'est accordée par unRCP. An RCP définit un garde-fou en matière d'autorisations, ou fixe des limites, aux actions que les identités peuvent effectuer sur les ressources des comptes concernés. L'administrateur doit toujours associer des politiques basées sur l'identité aux IAM rôles ou aux utilisateurs, ou des politiques clés pour réellement accorder des autorisations.

Note

Les politiques de contrôle des ressources de votre organisation ne s'appliquent pas à Clés gérées par AWS.

Clés gérées par AWS sont créés, gérés et utilisés en votre nom par un AWS service, vous ne pouvez ni modifier ni gérer ses autorisations.

En savoir plus

Pour des informations plus généralesRCPs, voir les politiques de contrôle des ressources dans le guide de AWS Organizations l'utilisateur.
Pour plus de détails sur la façon de définirRCPs, y compris des exemples, voir RCPla syntaxe dans le guide de AWS Organizations l'utilisateur.

L'exemple suivant montre comment utiliser an RCP pour empêcher les principaux externes d'accéder aux clés gérées par le client dans votre organisation. Cette politique n'est qu'un exemple et vous devez l'adapter à vos besoins commerciaux et de sécurité uniques. Par exemple, vous souhaiterez peut-être personnaliser votre politique pour autoriser l'accès à vos partenaires commerciaux. Pour plus de détails, consultez le référentiel d'exemples de politiques de périmètre des données.

Note

L'kms:RetireGrantautorisation n'est pas effective dans unRCP, même si l'Actionélément indique un astérisque (*) comme caractère générique.

Pour plus d'informations sur le mode de détermination kms:RetireGrant de l'autorisation, consultezRetrait et révocation d'octrois.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RCPEnforceIdentityPerimeter",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "kms:*",
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:PrincipalOrgID": "my-org-id"
                },
                "Bool": {
                    "aws:PrincipalIsAWSService": "false"
                }
            }
        }
    ]
}

L'exemple suivant RCP exige que les responsables du AWS service puissent accéder à vos KMS clés gérées par le client uniquement lorsque la demande provient de votre organisation. Cette politique applique le contrôle uniquement aux demandes aws:SourceAccount présentes. Cela garantit que les intégrations de services qui ne nécessitent pas l'utilisation de aws:SourceAccount ne sont pas affectées. Si elle aws:SourceAccount est présente dans le contexte de la demande, la Null condition est évaluée àtrue, ce qui entraîne l'application de la aws:SourceOrgID clé.

Pour plus d'informations sur le problème des adjoints confus, voir Le problème des adjoints confus dans le Guide de IAM l'utilisateur.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RCPEnforceConfusedDeputyProtection",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "kms:*",
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:SourceOrgID": "my-org-id"
                },
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                },
                "Null": {
                    "aws:SourceAccount": "false"
                }
            }
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Exemples

Octrois