中的資源控制政策 AWS KMS - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

中的資源控制政策 AWS KMS

資源控制政策 (RCPs) 是組織政策的一種類型,可用來對組織中 AWS 的資源強制執行預防性控制。RCPs 協助您集中限制對大規模 AWS 資源的外部存取。RCPs 補充服務控制政策 (SCPs)。雖然 SCPs可用來集中設定組織中IAM角色和使用者的最大許可,RCPs但可用來集中設定組織中 AWS 資源的最大許可。

您可以使用 RCPs 來管理組織中客戶受管KMS金鑰的許可。RCPs 單獨授予許可給客戶受管金鑰是不夠的。不會授予任何許可RCP。會針對身分可對受影響帳戶中的資源採取的動作,RCP定義許可護欄或設定限制。管理員仍然必須將身分型政策連接到IAM角色或使用者,或金鑰政策,以實際授予許可。

注意

組織中的資源控制政策不適用於 AWS 受管金鑰

AWS 受管金鑰 是由 AWS 服務代表您建立、管理和使用,您無法變更或管理其許可。

進一步了解

  • 如需 的一般資訊RCPs,請參閱 AWS Organizations 使用者指南 中的資源控制政策

  • 如需如何定義 的詳細資訊RCPs,包括範例,請參閱 AWS Organizations 使用者指南 中的RCP語法

下列範例示範如何使用 RCP,以防止外部主體存取組織中的客戶受管金鑰。此政策只是範例,您應該量身訂做以符合您的獨特業務和安全需求。例如,您可能想要自訂您的政策,以允許業務合作夥伴存取。如需詳細資訊,請參閱資料周邊政策範例儲存庫

注意

kms:RetireGrant 許可在 中無效RCP,即使Action元素指定星號 (*) 作為萬用字元。

如需如何kms:RetireGrant判斷 許可的詳細資訊,請參閱 淘汰和撤銷授予

{ "Version": "2012-10-17", "Statement": [ { "Sid": "RCPEnforceIdentityPerimeter", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:PrincipalOrgID": "my-org-id" }, "Bool": { "aws:PrincipalIsAWSService": "false" } } } ] }

下列範例RCP要求 AWS 服務主體只有在請求來自您的組織時,才能存取客戶受管KMS金鑰。此政策只會將控制項套用至aws:SourceAccount存在的請求。這可確保不需要使用 的服務整合aws:SourceAccount不會受到影響。如果 aws:SourceAccount 存在於請求內容中,則 Null條件會評估為 true,導致強制執行aws:SourceOrgID金鑰。

如需混淆代理問題的詳細資訊,請參閱 IAM 使用者指南 中的混淆代理問題

{ "Version": "2012-10-17", "Statement": [ { "Sid": "RCPEnforceConfusedDeputyProtection", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:SourceOrgID": "my-org-id" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "Null": { "aws:SourceAccount": "false" } } } ] }