Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Politiche di controllo delle risorse in AWS KMS
Le politiche di controllo delle risorse (RCPs) sono un tipo di politica organizzativa che puoi utilizzare per applicare controlli preventivi sulle AWS risorse dell'organizzazione. RCPsti aiutano a limitare centralmente l'accesso esterno alle tue AWS risorse su larga scala. RCPsintegrano le politiche di controllo dei servizi (SCPs). SCPsPuò essere utilizzato per impostare centralmente le autorizzazioni massime per IAM i ruoli e gli utenti dell'organizzazione, ma RCPs può essere utilizzato per impostare centralmente le autorizzazioni massime per AWS le risorse dell'organizzazione.
È possibile utilizzare RCPs per gestire le autorizzazioni relative alle KMS chiavi gestite dai clienti nell'organizzazione. RCPsda soli non sono sufficienti a concedere le autorizzazioni alle chiavi gestite dai clienti. Nessuna autorizzazione viene concessa da un. RCP An RCP definisce una barriera di autorizzazioni, o imposta dei limiti, alle azioni che le identità possono intraprendere sulle risorse degli account interessati. L'amministratore deve comunque allegare politiche basate sull'identità ai IAM ruoli o agli utenti o politiche chiave per concedere effettivamente le autorizzazioni.
Nota
Le politiche di controllo delle risorse dell'organizzazione non si applicano a. Chiavi gestite da AWS
Chiavi gestite da AWS vengono creati, gestiti e utilizzati per conto dell'utente da un AWS servizio, non è possibile modificare o gestire le relative autorizzazioni.
Ulteriori informazioni
-
Per informazioni più generali suRCPs, consulta le politiche di controllo delle risorse nella Guida per l'AWS Organizations utente.
-
Per dettagli su come definireRCPs, inclusi esempi, consultate la RCPsintassi nella Guida per l'AWS Organizations utente.
L'esempio seguente dimostra come utilizzare an per impedire RCP ai responsabili esterni di accedere alle chiavi gestite dai clienti dell'organizzazione. Questa politica è solo un esempio e dovreste personalizzarla per soddisfare le vostre esigenze aziendali e di sicurezza specifiche. Ad esempio, potresti voler personalizzare la tua politica per consentire l'accesso ai tuoi partner commerciali. Per maggiori dettagli, consulta l'archivio degli esempi di politiche perimetrali dei dati
Nota
L'kms:RetireGrant
autorizzazione non è valida in un carattereRCP, anche se l'Action
elemento specifica un asterisco (*) come carattere jolly.
Per ulteriori informazioni su come kms:RetireGrant
viene determinata l'autorizzazione a, vedere. Ritirare e revocare le concessioni
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RCPEnforceIdentityPerimeter", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:PrincipalOrgID": "
my-org-id
" }, "Bool": { "aws:PrincipalIsAWSService": "false" } } } ] }
L'esempio seguente RCP richiede che i responsabili del AWS
servizio possano accedere alle KMS chiavi gestite dai clienti solo quando la richiesta proviene dall'organizzazione. Questa politica applica il controllo solo alle richieste presentiaws:SourceAccount
. Ciò garantisce che le integrazioni di servizi che non richiedono l'uso di aws:SourceAccount
non siano influenzate. Se aws:SourceAccount
è presente nel contesto della richiesta, la Null
condizione restituisce un valore pari atrue
, causando l'aws:SourceOrgID
applicazione della chiave.
Per ulteriori informazioni sul problema del deputato confuso, vedere Il problema del deputato confuso nella Guida per l'IAMutente.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RCPEnforceConfusedDeputyProtection", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:SourceOrgID": "
my-org-id
" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "Null": { "aws:SourceAccount": "false" } } } ] }