Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kebijakan pengendalian sumber daya di AWS KMS
Kebijakan pengendalian sumber daya (RCPs) adalah jenis kebijakan organisasi yang dapat Anda gunakan untuk menegakkan kontrol preventif pada AWS sumber daya di organisasi Anda. RCPsmembantu Anda membatasi akses eksternal ke AWS sumber daya Anda secara terpusat dalam skala besar. RCPsmelengkapi kebijakan kontrol layanan (SCPs). Sementara, SCPs dapat digunakan untuk mengatur izin maksimum secara terpusat pada IAM peran dan pengguna di organisasi Anda, RCPs dapat digunakan untuk secara terpusat menetapkan izin maksimum pada AWS sumber daya di organisasi Anda.
Anda dapat menggunakan RCPs untuk mengelola izin ke KMS kunci yang dikelola pelanggan di organisasi Anda. RCPssaja tidak cukup dalam memberikan izin ke kunci yang dikelola pelanggan Anda. Tidak ada izin yang diberikan oleh. RCP RCPMendefinisikan pagar pembatas izin, atau menetapkan batasan, pada tindakan yang dapat dilakukan identitas terhadap sumber daya di akun yang terpengaruh. Administrator harus tetap melampirkan kebijakan berbasis identitas ke IAM peran atau pengguna, atau kebijakan utama untuk benar-benar memberikan izin.
catatan
Kebijakan pengendalian sumber daya di organisasi Anda tidak berlaku Kunci yang dikelola AWS.
Kunci yang dikelola AWS dibuat, dikelola, dan digunakan atas nama Anda oleh suatu AWS layanan, Anda tidak dapat mengubah atau mengelola izin mereka.
Pelajari selengkapnya
-
Untuk informasi lebih umum tentangRCPs, lihat Kebijakan kontrol sumber daya di Panduan AWS Organizations Pengguna.
-
Untuk detail tentang cara mendefinisikanRCPs, termasuk contoh, lihat RCPsintaks di Panduan AWS Organizations Pengguna.
Contoh berikut menunjukkan cara menggunakan an RCP untuk mencegah prinsipal eksternal mengakses kunci terkelola pelanggan di organisasi Anda. Kebijakan ini hanyalah contoh, dan Anda harus menyesuaikannya untuk memenuhi kebutuhan bisnis dan keamanan Anda yang unik. Misalnya, Anda mungkin ingin menyesuaikan kebijakan Anda untuk mengizinkan akses oleh mitra bisnis Anda. Untuk detail selengkapnya, lihat repositori contoh kebijakan perimeter data
catatan
kms:RetireGrantIzin tidak efektif dalamRCP, bahkan jika Action elemen menentukan tanda bintang (*) sebagai wildcard.
Untuk informasi selengkapnya tentang cara izin kms:RetireGrant ditentukan, lihatMenghentikan dan mencabut pemberian izin.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RCPEnforceIdentityPerimeter", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:PrincipalOrgID": "my-org-id" }, "Bool": { "aws:PrincipalIsAWSService": "false" } } } ] }
Contoh berikut RCP mengharuskan prinsipal AWS
layanan hanya dapat mengakses KMS kunci terkelola pelanggan Anda saat permintaan berasal dari organisasi Anda. Kebijakan ini menerapkan kontrol hanya pada permintaan yang aws:SourceAccount ada. Ini memastikan bahwa integrasi layanan yang tidak memerlukan penggunaan aws:SourceAccount tidak terpengaruh. Jika aws:SourceAccount ada dalam konteks permintaan, Null kondisi akan dievaluasitrue, menyebabkan aws:SourceOrgID kunci ditegakkan.
Untuk informasi lebih lanjut tentang masalah wakil yang bingung, lihat Masalah wakil yang bingung di Panduan IAM Pengguna.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RCPEnforceConfusedDeputyProtection", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:SourceOrgID": "my-org-id" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "Null": { "aws:SourceAccount": "false" } } } ] }
