Políticas de controle de recursos em AWS KMS - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas de controle de recursos em AWS KMS

As políticas de controle de recursos (RCPs) são um tipo de política organizacional que você pode usar para impor controles preventivos sobre AWS os recursos em sua organização. RCPsajudam você a restringir centralmente o acesso externo aos seus AWS recursos em grande escala. RCPscomplementam as políticas de controle de serviços (SCPs). Embora SCPs possa ser usado para definir centralmente as permissões máximas sobre as IAM funções e usuários em sua organização, RCPs pode ser usado para definir centralmente o máximo de permissões em AWS recursos em sua organização.

Você pode usar RCPs para gerenciar as permissões das KMS chaves gerenciadas pelo cliente em sua organização. RCPssozinhos, não são suficientes para conceder permissões às chaves gerenciadas pelo cliente. Nenhuma permissão é concedida por umRCP. An RCP define uma barreira de permissões, ou define limites, sobre as ações que as identidades podem realizar em relação aos recursos nas contas afetadas. O administrador ainda deve anexar políticas baseadas em identidade a IAM funções ou usuários, ou políticas importantes para realmente conceder permissões.

nota

As políticas de controle de recursos em sua organização não se aplicam Chaves gerenciadas pela AWSa.

Chaves gerenciadas pela AWS são criados, gerenciados e usados em seu nome por um AWS serviço, você não pode alterar ou gerenciar suas permissões.

Saiba mais

  • Para obter mais informações gerais sobreRCPs, consulte Políticas de controle de recursos no Guia AWS Organizations do usuário.

  • Para obter detalhes sobre como definirRCPs, incluindo exemplos, consulte a RCPsintaxe no Guia do AWS Organizations usuário.

O exemplo a seguir demonstra como usar um RCP para impedir que entidades externas acessem as chaves gerenciadas pelo cliente em sua organização. Essa política é apenas uma amostra e você deve adaptá-la para atender às suas necessidades específicas de negócios e segurança. Por exemplo, talvez você queira personalizar sua política para permitir o acesso de seus parceiros comerciais. Para obter mais detalhes, consulte o repositório de exemplos de políticas de perímetro de dados.

nota

A kms:RetireGrant permissão não é efetiva em umRCP, mesmo que o Action elemento especifique um asterisco (*) como curinga.

Para obter mais informações sobre como a permissão kms:RetireGrant é determinada, consulteRetirar e revogar concessões.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "RCPEnforceIdentityPerimeter", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:PrincipalOrgID": "my-org-id" }, "Bool": { "aws:PrincipalIsAWSService": "false" } } } ] }

O exemplo a seguir RCP exige que os diretores de AWS serviço só possam acessar suas KMS chaves gerenciadas pelo cliente quando a solicitação for originada de sua organização. Esta política aplica o controle somente às solicitações que aws:SourceAccount estão presentes. Isso garante que as integrações de serviços que não exigem o uso de aws:SourceAccount não sejam afetadas. Se aws:SourceAccount estiver presente no contexto da solicitação, a Null condição será avaliada comotrue, fazendo com que a aws:SourceOrgID chave seja aplicada.

Para obter mais informações sobre o problema do deputado confuso, consulte O problema do deputado confuso no Guia IAM do usuário.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "RCPEnforceConfusedDeputyProtection", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:SourceOrgID": "my-org-id" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "Null": { "aws:SourceAccount": "false" } } } ] }