Autoriser les organisations et OUs utiliser une KMS clé - Amazon Elastic Compute Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autoriser les organisations et OUs utiliser une KMS clé

Si vous partagez un AMI fichier basé sur des instantanés chiffrés, vous devez également autoriser les organisations ou unités organisationnelles (OUs) à utiliser les KMS clés utilisées pour chiffrer les instantanés.

Note

Les instantanés chiffrés doivent être chiffrés à l’aide d’une clé gérée par le client. Vous ne pouvez pas partager ceux AMIs qui sont sauvegardés par des instantanés chiffrés à l'aide de la clé AWS gérée par défaut.

Pour contrôler l'accès à la KMS clé, dans la politique des clés, vous pouvez utiliser les touches de aws:PrincipalOrgPathscondition aws:PrincipalOrgIDet pour autoriser uniquement des principaux spécifiques à autoriser les actions spécifiées. Un principal peut être un utilisateur, un IAM rôle, un utilisateur fédéré ou un utilisateur Compte AWS root.

Les clés de condition sont utilisées comme suit :

  • aws:PrincipalOrgID : Autorise tout principal appartenant à l’organisation représentée par l’ID spécifié.

  • aws:PrincipalOrgPaths— Autorise tout principal appartenant aux chemins OUs représentés par les chemins spécifiés.

Pour autoriser une organisation (y compris les comptes OUs et comptes qui lui appartiennent) à utiliser une KMS clé, ajoutez la déclaration suivante à la politique relative aux clés.

{
    "Sid": "Allow access for organization root",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "kms:Describe*",
        "kms:List*",
        "kms:Get*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "o-123example"
        }
    }
}

Pour donner à une autorisation spécifique OUs (et aux comptes qui y appartiennent) l'autorisation d'utiliser une KMS clé, vous pouvez utiliser une politique similaire à celle de l'exemple suivant.

{
        "Sid": "Allow access for specific OUs and their descendants",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "kms:Describe*",
            "kms:List*",
            "kms:Get*",
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "aws:PrincipalOrgID": "o-123example"
            },
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "o-123example/r-ab12/ou-ab12-33333333/*",
                    "o-123example/r-ab12/ou-ab12-22222222/*"
                ]
            }
        }
}

Pour d'autres exemples de déclarations de condition, voir aws:PrincipalOrgID et aws:PrincipalOrgPaths dans le guide de l'utilisateur IAM.

Pour plus d'informations sur l'accès entre comptes, voir Autoriser les utilisateurs d'autres comptes à utiliser une KMS clé dans le Guide du AWS Key Management Service développeur.