Richtlinien zur Ressourcenkontrolle in AWS KMS - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinien zur Ressourcenkontrolle in AWS KMS

Ressourcenkontrollrichtlinien (RCPs) sind eine Art von Unternehmensrichtlinie, mit der Sie präventive Kontrollen für AWS Ressourcen in Ihrer Organisation durchsetzen können. RCPs helfen Ihnen dabei, den externen Zugriff auf Ihre AWS Ressourcen zentral und in großem Umfang einzuschränken. RCPs ergänzen die Richtlinien zur Servicekontrolle (SCPs). SCPs Kann zwar verwendet werden, um die maximalen Berechtigungen für die IAM-Rollen und -Benutzer in Ihrer Organisation zentral festzulegen, RCPs kann aber auch verwendet werden, um die maximalen Berechtigungen für AWS Ressourcen in Ihrer Organisation zentral festzulegen.

Sie können es verwenden RCPs , um Berechtigungen für die vom Kunden verwalteten KMS-Schlüssel in Ihrer Organisation zu verwalten. RCPs allein reichen nicht aus, um Ihren vom Kunden verwalteten Schlüsseln Berechtigungen zu erteilen. Ein RCP gewährt keine Berechtigungen. Ein RCP definiert eine Berechtigungsschranke oder legt Grenzwerte für die Aktionen fest, die Identitäten mit Ressourcen in den betroffenen Konten ausführen können. Der Administrator muss IAM-Rollen oder -Benutzern weiterhin identitätsbasierte Richtlinien oder wichtige Richtlinien zuordnen, um tatsächlich Berechtigungen zu erteilen.

Anmerkung

Die Richtlinien zur Ressourcenkontrolle in Ihrer Organisation gelten nicht für. Von AWS verwaltete Schlüssel

Von AWS verwaltete Schlüssel werden in Ihrem Namen von einem AWS Dienst erstellt, verwaltet und verwendet, dessen Berechtigungen Sie nicht ändern oder verwalten können.

Weitere Informationen

  • Weitere allgemeine Informationen dazu RCPs finden Sie im AWS Organizations Benutzerhandbuch unter Richtlinien zur Ressourcenkontrolle.

  • Einzelheiten zur Definition RCPs, einschließlich Beispielen, finden Sie unter RCP-Syntax im AWS Organizations Benutzerhandbuch.

Das folgende Beispiel zeigt, wie Sie mithilfe eines RCP verhindern können, dass externe Principals auf vom Kunden verwaltete Schlüssel in Ihrer Organisation zugreifen. Diese Richtlinie ist nur ein Beispiel, und Sie sollten sie an Ihre individuellen Geschäfts- und Sicherheitsanforderungen anpassen. Möglicherweise möchten Sie Ihre Richtlinie so anpassen, dass Ihre Geschäftspartner darauf zugreifen können. Weitere Informationen finden Sie im Repository mit Beispielen für Datenperimeter-Richtlinien.

Anmerkung

Die kms:RetireGrant Berechtigung ist in einem RCP nicht wirksam, auch wenn das Action Element ein Sternchen (*) als Platzhalter angibt.

Weitere Hinweise dazu, wie die Berechtigung für bestimmt kms:RetireGrant wird, finden Sie unter. Außerbetriebnahme und Widerruf von Erteilungen

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RCPEnforceIdentityPerimeter",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "kms:*",
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:PrincipalOrgID": "my-org-id"
                },
                "Bool": {
                    "aws:PrincipalIsAWSService": "false"
                }
            }
        }
    ]
}

Das folgende RCP-Beispiel erfordert, dass AWS Service Principals nur dann auf Ihre vom Kunden verwalteten KMS-Schlüssel zugreifen können, wenn die Anfrage von Ihrer Organisation stammt. Diese Richtlinie wendet die Kontrolle nur auf Anfragen an, die vorhanden sind. aws:SourceAccount Dadurch wird sichergestellt, dass Serviceintegrationen, für die keine Verwendung von erforderlich ist, aws:SourceAccount nicht beeinträchtigt werden. Wenn im Anforderungskontext vorhanden aws:SourceAccount ist, wird die Null Bedingung als 0 ausgewertettrue, wodurch der aws:SourceOrgID Schlüssel erzwungen wird.

Weitere Informationen zum Problem mit dem verwirrten Stellvertreter finden Sie unter Das Problem mit dem verwirrten Stellvertreter im IAM-Benutzerhandbuch.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RCPEnforceConfusedDeputyProtection",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "kms:*",
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:SourceOrgID": "my-org-id"
                },
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                },
                "Null": {
                    "aws:SourceAccount": "false"
                }
            }
        }
    ]
}