拒绝生产账户使用 DisableKey 和 ScheduleKeyDeletion

删除密钥是非常危险的行为，一旦删除，所有使用密码加密过的数据就无法恢复。因此建议限制仅允许指定角色可以做操作，并且在特定的条件下操作。

{
    "Effect": "Deny",
    "Action": [
        "kms:DisableKey",
        "kms:ScheduleKeyDeletion"
    ],
    "Resource": "*",
    "Condition": {
        "StringLike": {
            "aws:PrincipalARN": [
                "arn:aws:iam::*:role/*SQUAD*"
            ]
        }
    }
}

上一页kms: 阻止组织外使用KMS 下一页仅可信网络/预期网络

最后更新于1年前