本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
中的资源控制策略 AWS KMS
资源控制策略 (RCPs) 是一种组织策略,可用于对组织中的 AWS 资源实施预防性控制。 RCPs 帮助您大规模集中限制外部访问您的 AWS 资源。 RCPs 补充服务控制策略 (SCPs)。虽然 SCPs 可用于集中设置组织中 IAM 角色和用户的最大权限,但 RCPs 可用于集中设置组织中 AWS 资源的最大权限。
您可以使用 RCPs 管理组织中客户托管的 KMS 密钥的权限。 RCPs 仅凭向您的客户托管密钥授予权限是不够的。RCP 不授予任何权限。RCP 对身份可以对受影响账户中的资源执行的操作定义权限护栏或设置限制。管理员仍必须将基于身份的策略附加到 IAM 角色或用户,或者将密钥策略附加到实际授予权限。
注意
您组织中的资源控制政策不适用于AWS 托管式密钥。
AWS 托管式密钥 由 AWS 服务代表您创建、管理和使用,您无法更改或管理其权限。
了解更多
以下示例演示如何使用 RCP 来防止外部委托人访问您组织中的客户托管密钥。此政策只是一个示例,您应该对其进行量身定制,以满足您独特的业务和安全需求。例如,您可能需要自定义策略以允许业务合作伙伴进行访问。有关更多详细信息,请参阅数据外围策略示例存储库
注意
即使Action元素将星号 (*) 指定为通配符,该kms:RetireGrant权限在 RCP 中也无效。
有关如何确定权限的kms:RetireGrant更多信息,请参阅停用和撤销授权。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RCPEnforceIdentityPerimeter", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:PrincipalOrgID": "my-org-id" }, "Bool": { "aws:PrincipalIsAWSService": "false" } } } ] }
以下示例 RCP 要求 AWS
服务委托人只有在请求来自您的组织时才能访问您的客户托管的 KMS 密钥。此策略仅对aws:SourceAccount存在的请求应用控制。这样可以确保不需要使用的服务集成aws:SourceAccount不会受到影响。如果请求上下文中存在,aws:SourceAccount则Null条件的计算结果为true,从而强制执行aws:SourceOrgID密钥。
有关混淆副手问题的更多信息,请参阅 IAM 用户指南中的混淆副手问题。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RCPEnforceConfusedDeputyProtection", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:SourceOrgID": "my-org-id" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "Null": { "aws:SourceAccount": "false" } } } ] }
