本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 中的資源控制政策 AWS KMS
<a name="resource-control-policies"></a>

資源控制政策 RCPs) 是一種組織政策，可用來對組織中 AWS 的資源強制執行預防性控制。RCPs可協助您集中限制大規模對 AWS 資源的外部存取。RCPs補充服務控制政策 SCPs)。雖然 SCPs可用來集中設定組織中 IAM 角色和使用者的最大許可，但 RCPs 可用來集中設定組織中 AWS 資源的最大許可。

您可以使用 RCPs來管理組織中客戶受管 KMS 金鑰的許可。僅 RCPs 不足以授與許可給客戶受管金鑰。RCP 不會授予任何許可。RCP 會針對身分可對受影響帳戶中的資源採取的動作，定義許可護欄或設定限制。管理員仍然必須將身分型政策連接到 IAM 角色或使用者，或金鑰政策，以實際授予許可。

**注意**  
組織中的資源控制政策不適用於 [AWS 受管金鑰](concepts.md#aws-managed-key)。  
AWS 受管金鑰 是由 AWS 服務代表您建立、管理和使用，您無法變更或管理其許可。

**進一步了解**
+ 如需 RCPs的一般資訊，請參閱*AWS Organizations 《 使用者指南*》中的[資源控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ 如需如何定義 RCPs的詳細資訊，包括範例，請參閱*AWS Organizations 《 使用者指南*》中的 [RCP 語法](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)。

下列範例示範如何使用 RCP 來防止外部主體存取組織中的客戶受管金鑰。此政策只是範例，您應該量身打造它來滿足您的獨特業務和安全需求。例如，您可能想要自訂您的政策，以允許您的業務合作夥伴存取 。如需詳細資訊，請參閱[資料周邊政策範例儲存庫](https://github.com/aws-samples/data-perimeter-policy-examples/tree/main/resource_control_policies)。

**注意**  
`kms:RetireGrant` 許可在 RCP 中無效，即使 `Action`元素指定星號 (\$1) 做為萬用字元。  
如需如何`kms:RetireGrant`判斷 許可的詳細資訊，請參閱 [淘汰和撤銷授予](grant-delete.md)。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RCPEnforceIdentityPerimeter",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "kms:*",
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:PrincipalOrgID": "my-org-id"
                },
                "Bool": {
                    "aws:PrincipalIsAWSService": "false"
                }
            }
        }
    ]
}
```

------

下列範例 RCP 要求 AWS 服務主體只有在請求來自您的組織時，才能存取您的客戶受管 KMS 金鑰。此政策只會將控制項套用至`aws:SourceAccount`已存在的請求。這可確保不需要使用 的服務整合`aws:SourceAccount`不會受到影響。如果請求內容中存在 `aws:SourceAccount` ，則 `Null`條件會評估為 `true`，導致強制執行`aws:SourceOrgID`金鑰。

如需混淆代理人問題的詳細資訊，請參閱[《IAM 使用者指南》中的混淆代理人問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)。 **

```
```

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RCPEnforceConfusedDeputyProtection",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "kms:*",
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:SourceOrgID": "my-org-id"
                },
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                },
                "Null": {
                    "aws:SourceAccount": "false"
                }
            }
        }
    ]
}
```

------