As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Políticas de controle de recursos em AWS KMS
As políticas de controle de recursos (RCPs) são um tipo de política organizacional que você pode usar para impor controles preventivos sobre AWS os recursos em sua organização. RCPs ajudam você a restringir centralmente o acesso externo aos seus AWS recursos em grande escala. RCPs complementam as políticas de controle de serviços (SCPs). Embora SCPs possa ser usado para definir centralmente as permissões máximas sobre as funções e usuários do IAM em sua organização, RCPs pode ser usado para definir centralmente o máximo de permissões em AWS recursos em sua organização.
Você pode usar RCPs para gerenciar as permissões das chaves KMS gerenciadas pelo cliente em sua organização. RCPs sozinhos, não são suficientes para conceder permissões às chaves gerenciadas pelo cliente. Nenhuma permissão é concedida por uma RCP. Uma RCP define uma barreira de proteção de permissões, ou define limites, nas ações que as identidades podem realizar em recursos nas contas afetadas. O administrador ainda deve anexar políticas baseadas em identidade a usuários ou perfis do IAM, ou políticas de chave para conceder permissões de fato.
nota
As políticas de controle de recursos de sua organização não se aplicam a Chaves gerenciadas pela AWS.
Chaves gerenciadas pela AWS são criados, gerenciados e usados em seu nome por um AWS serviço, você não pode alterar ou gerenciar suas permissões.
Saiba mais
-
Para obter mais informações gerais sobre RCPs, consulte Políticas de controle de recursos no Guia AWS Organizations do usuário.
-
Para obter detalhes sobre como definir RCPs, incluindo exemplos, consulte a sintaxe RCP no Guia do AWS Organizations Usuário.
O exemplo a seguir demonstra como usar uma RCP para impedir que entidades principais externas acessem chaves gerenciadas pelo cliente em sua organização. Essa política é somente um exemplo e você deve adaptá-la para atender às suas necessidades específicas de negócios e segurança. Por exemplo, você pode querer personalizar sua política para permitir o acesso de seus parceiros de negócios. Para obter mais detalhes, consulte o repositório de exemplos de política de perímetro de dados
nota
A permissão kms:RetireGrant não tem efeito em uma RCP, mesmo que o elemento Action especifique um asterisco (*) como curinga.
Para obter mais informações sobre como a permissão kms:RetireGrant é determinada, consulte Retirar e revogar concessões.
O exemplo de RCP a seguir exige que os diretores de AWS serviço só possam acessar suas chaves KMS gerenciadas pelo cliente quando a solicitação for originada de sua organização. Esta política aplica o controle somente às solicitações que têm aws:SourceAccount presente. Isso garante que as integrações de serviços que não exigem o uso de aws:SourceAccount não sejam afetadas. Se aws:SourceAccount estiver presente no contexto da solicitação, a condição Null será avaliada como true, fazendo com que a chave aws:SourceOrgID seja aplicada.
Para obter mais informações sobre o problema de “confused deputy”, consulte O problema de “confused deputy” no Guia do usuário do IAM.
