Consenti OUs alle organizzazioni di utilizzare una KMS chiave

Se condividi un AMI file supportato da istantanee crittografate, devi inoltre consentire alle organizzazioni o alle unità organizzative (OUs) di utilizzare le KMS chiavi utilizzate per crittografare le istantanee.

Nota

Gli snapshot crittografati devono essere crittografati con una chiave gestita dal cliente. Non puoi condividerle AMIs supportate da istantanee crittografate con la chiave gestita predefinita. AWS

Per controllare l'accesso alla KMS chiave, nella policy chiave è possibile utilizzare le chiavi aws:PrincipalOrgIDe aws:PrincipalOrgPathscondizionale per consentire solo l'autorizzazione dei principali specifici alle azioni specificate. Un principale può essere un utente, un IAM ruolo, un utente federato o un utente Account AWS root.

Le chiavi di condizione vengono utilizzate nel modo seguente:

aws:PrincipalOrgID – Consente qualsiasi principale appartenente all'organizzazione rappresentato dall'ID specificato.
aws:PrincipalOrgPaths— Consente qualsiasi principale appartenente al percorso OUs rappresentato dai percorsi specificati.

Per concedere a un'organizzazione (inclusi OUs gli account che le appartengono) l'autorizzazione a utilizzare una KMS chiave, aggiungi la seguente dichiarazione alla politica chiave.


{
    "Sid": "Allow access for organization root",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "kms:Describe*",
        "kms:List*",
        "kms:Get*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "o-123example"
        }
    }
}

Per concedere a una specifica OUs (e agli account che ne fanno parte) l'autorizzazione a utilizzare una KMS chiave, puoi utilizzare una politica simile all'esempio seguente.


{
        "Sid": "Allow access for specific OUs and their descendants",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "kms:Describe*",
            "kms:List*",
            "kms:Get*",
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "aws:PrincipalOrgID": "o-123example"
            },
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "o-123example/r-ab12/ou-ab12-33333333/*",
                    "o-123example/r-ab12/ou-ab12-22222222/*"
                ]
            }
        }
}

Per ulteriori esempi di istruzioni condizionali, vedere aws:PrincipalOrgID e aws:PrincipalOrgPaths nella Guida per l'utente di IAM.

Per informazioni sull'accesso tra account diversi, consulta Consentire agli utenti di altri account di utilizzare una KMS chiave nella Guida per gli AWS Key Management Service sviluppatori.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Ottieni il nome di un'organizzazione ARN o di un'unità organizzativa

Gestisci AMI la condivisione con un'organizzazione o un'unità organizzativa