Erlauben Sie Organisationen und OUs die Verwendung eines Schlüssels KMS - Amazon Elastic Compute Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erlauben Sie Organisationen und OUs die Verwendung eines Schlüssels KMS

Wenn Sie einen teilenAMI, der durch verschlüsselte Snapshots gesichert ist, müssen Sie auch den Organisationen oder deren Verwendung gestatten AWS KMS keys , die OUs zum Verschlüsseln der Snapshots verwendet wurden.

Verwenden Sie die aws:PrincipalOrgPaths Tasten aws:PrincipalOrgID und, um den AWS Organizations Pfad für den Prinzipal, der die Anfrage stellt, mit dem Pfad in der Richtlinie zu vergleichen. Bei diesem Prinzipal kann es sich um einen Benutzer, eine IAM Rolle, einen Verbundbenutzer oder einen AWS-Konto Root-Benutzer handeln. In einer Richtlinie stellt dieser Bedingungsschlüssel sicher, dass der Anforderer ein Kontomitglied innerhalb der angegebenen Stammorganisation oder OUs innerhalb der angegebenen Organisation ist. AWS Organizations Weitere Beispiele für Bedingungsanweisungen finden Sie unter aws:PrincipalOrgIDund aws:PrincipalOrgPathsim IAMBenutzerhandbuch.

Informationen zum Bearbeiten einer Schlüsselrichtlinie finden Sie unter Zulassen, dass Benutzer mit anderen Konten einen KMS Schlüssel verwenden können im AWS Key Management Service Entwicklerhandbuch.

Um einer Organisation oder Organisationseinheit die Erlaubnis zur Verwendung eines KMS Schlüssels zu erteilen, fügen Sie der Schlüsselrichtlinie die folgende Erklärung hinzu.

{
    "Sid": "Allow access for organization root",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "kms:Describe*",
        "kms:List*",
        "kms:Get*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "o-123example"
        }
    }
}

Um einen KMS Schlüssel mit mehreren gemeinsam zu nutzenOUs, können Sie eine Richtlinie verwenden, die dem folgenden Beispiel ähnelt.

{
        "Sid": "Allow access for specific OUs and their descendants",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "kms:Describe*",
            "kms:List*",
            "kms:Get*",
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "aws:PrincipalOrgID": "o-123example"
            },
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "o-123example/r-ab12/ou-ab12-33333333/*",
                    "o-123example/r-ab12/ou-ab12-22222222/*"
                ]
            }
        }
}