本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
中的資源控制政策 AWS KMS
資源控制政策 (RCPs) 是組織政策的一種類型,可用來對組織中 AWS 的資源強制執行預防性控制。RCPs 協助您集中限制對大規模 AWS 資源的外部存取。RCPs 補充服務控制政策 (SCPs)。雖然 SCPs可用來集中設定組織中IAM角色和使用者的最大許可,RCPs但可用來集中設定組織中 AWS 資源的最大許可。
您可以使用 RCPs 來管理組織中客戶受管KMS金鑰的許可。RCPs 單獨授予許可給客戶受管金鑰是不夠的。不會授予任何許可RCP。會針對身分可對受影響帳戶中的資源採取的動作,RCP定義許可護欄或設定限制。管理員仍然必須將身分型政策連接到IAM角色或使用者,或金鑰政策,以實際授予許可。
注意
組織中的資源控制政策不適用於 AWS 受管金鑰。
AWS 受管金鑰 是由 AWS 服務代表您建立、管理和使用,您無法變更或管理其許可。
進一步了解
下列範例示範如何使用 RCP,以防止外部主體存取組織中的客戶受管金鑰。此政策只是範例,您應該量身訂做以符合您的獨特業務和安全需求。例如,您可能想要自訂您的政策,以允許業務合作夥伴存取。如需詳細資訊,請參閱資料周邊政策範例儲存庫
注意
kms:RetireGrant
許可在 中無效RCP,即使Action
元素指定星號 (*) 作為萬用字元。
如需如何kms:RetireGrant
判斷 許可的詳細資訊,請參閱 淘汰和撤銷授予。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RCPEnforceIdentityPerimeter", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:PrincipalOrgID": "
my-org-id
" }, "Bool": { "aws:PrincipalIsAWSService": "false" } } } ] }
下列範例RCP要求 AWS 服務主體只有在請求來自您的組織時,才能存取客戶受管KMS金鑰。此政策只會將控制項套用至aws:SourceAccount
存在的請求。這可確保不需要使用 的服務整合aws:SourceAccount
不會受到影響。如果 aws:SourceAccount
存在於請求內容中,則 Null
條件會評估為 true
,導致強制執行aws:SourceOrgID
金鑰。
如需混淆代理問題的詳細資訊,請參閱 IAM 使用者指南 中的混淆代理問題。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RCPEnforceConfusedDeputyProtection", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:SourceOrgID": "
my-org-id
" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "Null": { "aws:SourceAccount": "false" } } } ] }