Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Kebijakan pengendalian sumber daya di AWS KMS Kebijakan pengendalian sumber daya (RCPs) adalah jenis kebijakan organisasi yang dapat Anda gunakan untuk menegakkan kontrol preventif pada AWS sumber daya di organisasi Anda. RCPs membantu Anda membatasi akses eksternal ke AWS sumber daya Anda secara terpusat dalam skala besar. RCPs melengkapi kebijakan kontrol layanan (SCPs). Sementara, SCPs dapat digunakan untuk mengatur izin maksimum secara terpusat pada peran IAM dan pengguna di organisasi Anda, RCPs dapat digunakan untuk secara terpusat menetapkan izin maksimum pada AWS sumber daya di organisasi Anda. Anda dapat menggunakan RCPs untuk mengelola izin ke kunci KMS yang dikelola pelanggan di organisasi Anda. RCPs saja tidak cukup dalam memberikan izin ke kunci yang dikelola pelanggan Anda. Tidak ada izin yang diberikan oleh RCP. RCP mendefinisikan pagar pembatas izin, atau menetapkan batasan, pada tindakan yang dapat diambil identitas terhadap sumber daya di akun yang terpengaruh. Administrator harus tetap melampirkan kebijakan berbasis identitas ke peran IAM atau pengguna, atau kebijakan utama untuk benar-benar memberikan izin. **catatan** Kebijakan pengendalian sumber daya di organisasi Anda tidak berlaku [Kunci yang dikelola AWS](concepts.md#aws-managed-key). Kunci yang dikelola AWS dibuat, dikelola, dan digunakan atas nama Anda oleh suatu AWS layanan, Anda tidak dapat mengubah atau mengelola izin mereka. **Pelajari selengkapnya** + Untuk informasi lebih umum tentang RCPs, lihat [Kebijakan kontrol sumber daya](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*. + Untuk detail tentang cara mendefinisikan RCPs, termasuk contoh, lihat [sintaks RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html) di *AWS Organizations Panduan Pengguna*. Contoh berikut menunjukkan cara menggunakan RCP untuk mencegah prinsipal eksternal mengakses kunci yang dikelola pelanggan di organisasi Anda. Kebijakan ini hanyalah contoh, dan Anda harus menyesuaikannya untuk memenuhi kebutuhan bisnis dan keamanan unik Anda. Misalnya, Anda mungkin ingin menyesuaikan kebijakan Anda untuk mengizinkan akses oleh mitra bisnis Anda. Untuk detail selengkapnya, lihat [repositori contoh kebijakan perimeter data](https://github.com/aws-samples/data-perimeter-policy-examples/tree/main/resource_control_policies). **catatan** `kms:RetireGrant`Izin tidak efektif dalam RCP, bahkan jika `Action` elemen menentukan tanda bintang (\*) sebagai wildcard. Untuk informasi selengkapnya tentang cara izin `kms:RetireGrant` ditentukan, lihat[Menghentikan dan mencabut pemberian izin](grant-delete.md). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "RCPEnforceIdentityPerimeter", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:PrincipalOrgID": "{{my-org-id}}" }, "Bool": { "aws:PrincipalIsAWSService": "false" } } } ] } ``` ------ Contoh RCP berikut mengharuskan prinsipal AWS layanan hanya dapat mengakses kunci KMS yang dikelola pelanggan Anda saat permintaan berasal dari organisasi Anda. Kebijakan ini menerapkan kontrol hanya pada permintaan yang `aws:SourceAccount` ada. Ini memastikan bahwa integrasi layanan yang tidak memerlukan penggunaan `aws:SourceAccount` tidak terpengaruh. Jika `aws:SourceAccount` ada dalam konteks permintaan, `Null` kondisi akan dievaluasi`true`, menyebabkan `aws:SourceOrgID` kunci ditegakkan. Untuk informasi lebih lanjut tentang masalah wakil yang bingung, lihat [Masalah wakil yang bingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) di *Panduan Pengguna IAM*. ``` ``` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "RCPEnforceConfusedDeputyProtection", "Effect": "Deny", "Principal": "*", "Action": "kms:*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:SourceOrgID": "{{my-org-id}}" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "Null": { "aws:SourceAccount": "false" } } } ] } ``` ------