Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Políticas de control de recursos en AWS KMS
Las políticas de control de recursos (RCPs) son un tipo de política organizacional que puede usar para aplicar controles preventivos a AWS los recursos de su organización. RCPs le ayudan a restringir de forma centralizada y a gran escala el acceso externo a sus AWS recursos. RCPs complementar las políticas de control de servicios (SCPs). Si bien se SCPs puede utilizar para establecer de forma centralizada los permisos máximos para las funciones y los usuarios de IAM de su organización, se RCPs puede utilizar para establecer de forma centralizada los permisos máximos sobre los AWS recursos de su organización.
Puede usarlo RCPs para administrar los permisos de las claves de KMS administradas por el cliente en su organización. RCPs por sí solos no son suficientes para conceder permisos a las claves administradas por el cliente. Una RCP no concede ningún permiso. Una RCP define una barrera de protección de permisos o establece límites a las acciones que las identidades pueden llevar a cabo en los recursos de las cuentas afectadas. El administrador aún debe adjuntar políticas basadas en identidad a los usuarios o roles de IAM, o políticas de claves para conceder permisos realmente.
nota
Las políticas de control de recursos de su organización no se aplican a las Claves administradas por AWS.
Claves administradas por AWS si son creadas, administradas y utilizadas en su nombre por un AWS servicio, no puede cambiar ni administrar sus permisos.
Más información
-
Para obtener más información general RCPs, consulte las políticas de control de recursos en la Guía del AWS Organizations usuario.
-
Para obtener detalles sobre cómo definir RCPs, incluidos ejemplos, consulte la sintaxis de RCP en la Guía del AWS Organizations usuario.
En el siguiente ejemplo, se muestra cómo utilizar una RCP para evitar que las entidades principales externas tengan acceso a las claves administradas por los clientes de su organización. Esta política es solo un ejemplo y debe modificarla para que se adapte a sus necesidades empresariales y de seguridad específicas. Por ejemplo, es posible que desee personalizar la política para permitir el acceso de sus socios comerciales. Para obtener más información, consulte el repositorio de ejemplos de políticas de perímetro de datos
nota
El permiso kms:RetireGrant no es efectivo en una RCP, incluso si el elemento Action especifica un asterisco (*) como comodín.
Para obtener más información sobre cómo se determina el permiso para kms:RetireGrant, consulte Retiro y revocación de concesiones.
El siguiente ejemplo de RCP exige que los directores de AWS servicio solo puedan acceder a las claves de KMS administradas por el cliente cuando la solicitud se origine en su organización. Esta política aplica el control solo a las solicitudes que tienen aws:SourceAccount presente. Esto garantiza que las integraciones de servicios que no requieren el uso de aws:SourceAccount no se vean afectadas. Si la aws:SourceAccount está presente en el contexto de la solicitud, se evaluará la condición Null como true, lo que provocará que se aplique la clave aws:SourceOrgID.
Para obtener información general sobre el problema del suplente confuso, consulte El problema del suplente confuso en la Guía del usuario de IAM.
