Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Si vous partagez une AMI basée sur des instantanés chiffrés, vous devez également autoriser les organisations ou unités organisationnelles (OUs) à utiliser les clés KMS utilisées pour chiffrer les instantanés.
Note
Les instantanés chiffrés doivent être chiffrés à l’aide d’une clé gérée par le client. Vous ne pouvez pas partager AMIs ceux qui sont sauvegardés par des instantanés chiffrés avec la clé AWS gérée par défaut.
Pour contrôler l’accès à la clé KMS, dans la stratégie de clé vous pouvez utiliser les clés de condition aws:PrincipalOrgID et aws:PrincipalOrgPaths pour n’autoriser que des mandants spécifiques à effectuer les actions spécifiées. Un principal peut être un utilisateur, un rôle IAM, un utilisateur fédéré ou un utilisateur Compte AWS root.
Les clés de condition sont utilisées comme suit :
-
aws:PrincipalOrgID: Autorise tout principal appartenant à l’organisation représentée par l’ID spécifié. -
aws:PrincipalOrgPaths— Autorise tout principal appartenant aux chemins OUs représentés par les chemins spécifiés.
Pour autoriser une organisation (y compris OUs les comptes qui lui appartiennent) à utiliser une clé KMS, ajoutez la déclaration suivante à la politique de clé.
{
"Sid": "Allow access for organization root",
"Effect": "Allow",
"Principal": "*",
"Action": [
"kms:Describe*",
"kms:List*",
"kms:Get*",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-123example"
}
}
}Pour donner à une autorisation spécifique OUs (et aux comptes qui y appartiennent) l'autorisation d'utiliser une clé KMS, vous pouvez utiliser une politique similaire à l'exemple suivant.
{
"Sid": "Allow access for specific OUs and their descendants",
"Effect": "Allow",
"Principal": "*",
"Action": [
"kms:Describe*",
"kms:List*",
"kms:Get*",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-123example"
},
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"o-123example/r-ab12/ou-ab12-33333333/*",
"o-123example/r-ab12/ou-ab12-22222222/*"
]
}
}
}Pour d'autres exemples de déclarations de condition, voir aws:PrincipalOrgID et aws:PrincipalOrgPathsdans le guide de l'utilisateur IAM.
Pour plus d’informations sur l’accès intercomptes, consultez la section Autoriser les utilisateurs d’autres comptes à utiliser une clé KMS dans le Guide du développeur AWS Key Management Service (langue française non garantie).
