本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
中的资源控制策略 AWS KMS
资源控制策略 (RCPs) 是一种组织策略,可用于对组织中的 AWS 资源实施预防性控制。RCPs帮助您大规模集中限制外部访问您的 AWS 资源。RCPs补充服务控制策略 (SCPs)。虽然SCPs可用于集中设置组织中IAM角色和用户的最大权限,但RCPs可用于集中设置组织中 AWS 资源的最大权限。
您可以使用RCPs来管理组织中客户托管KMS密钥的权限。RCPs仅凭向您的客户托管密钥授予权限是不够的。不授予任何权限RCP。对身份可以对受影响账户中的资源执行的操作RCP定义权限护栏或设置限制。管理员仍必须将基于身份的策略附加到IAM角色或用户,或者将密钥策略附加到实际授予权限。
注意
您组织中的资源控制政策不适用于AWS 托管式密钥。
AWS 托管式密钥 由 AWS 服务代表您创建、管理和使用,您无法更改或管理其权限。
了解更多
以下示例演示如何使用RCP来防止外部委托人访问您组织中的客户托管密钥。此政策只是一个示例,您应该对其进行量身定制,以满足您独特的业务和安全需求。例如,您可能需要自定义策略以允许业务合作伙伴进行访问。有关更多详细信息,请参阅数据外围策略示例存储库
注意
即使Action元素将星号 (*) 指定为RCP通配符,该kms:RetireGrant权限在中也无效。
有关如何确定权限的kms:RetireGrant更多信息,请参阅停用和撤销授权。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RCPEnforceIdentityPerimeter", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:PrincipalOrgID": "my-org-id" }, "Bool": { "aws:PrincipalIsAWSService": "false" } } } ] }
以下示例RCP要求只有当请求来自您的组织时, AWS
服务委托人才能访问您的客户托管KMS密钥。此策略仅对aws:SourceAccount存在的请求应用控制。这样可以确保不需要使用的服务集成aws:SourceAccount不会受到影响。如果请求上下文中存在,aws:SourceAccount则Null条件的计算结果为true,从而强制执行aws:SourceOrgID密钥。
有关混淆副手问题的更多信息,请参阅《IAM用户指南》中的 “混淆副手问题”。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RCPEnforceConfusedDeputyProtection", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:SourceOrgID": "my-org-id" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "Null": { "aws:SourceAccount": "false" } } } ] }
