Consenti alle organizzazioni e di utilizzare OUs una chiave KMS - Amazon Elastic Compute Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Consenti alle organizzazioni e di utilizzare OUs una chiave KMS

Se condividi un AMI file supportato da istantanee crittografate, devi inoltre consentire alle organizzazioni o utilizzare AWS KMS keys quelle utilizzate OUs per crittografare le istantanee.

Utilizza le aws:PrincipalOrgPaths chiavi aws:PrincipalOrgID and per confrontare il AWS Organizations percorso del principale che effettua la richiesta con il percorso indicato nella policy. Tale principale può essere un utente, un IAM ruolo, un utente federato o un utente Account AWS root. In una politica, questa chiave di condizione garantisce che il richiedente sia un membro dell'account all'interno della radice o OUs in dell'organizzazione specificata. AWS Organizations Per ulteriori esempi di istruzioni condizionali, vedere aws:PrincipalOrgID e aws:PrincipalOrgPaths nella Guida per l'utente di IAM.

Per informazioni sulla modifica di una politica chiave, consulta Consentire agli utenti di altri account di utilizzare una KMS chiave nella Guida per gli AWS Key Management Service sviluppatori.

Per concedere a un'organizzazione o a un'unità organizzativa il permesso di utilizzare una KMS chiave, aggiungi la seguente dichiarazione alla politica chiave.

{
    "Sid": "Allow access for organization root",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "kms:Describe*",
        "kms:List*",
        "kms:Get*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "o-123example"
        }
    }
}

Per condividere una KMS chiave con più OUs persone, è possibile utilizzare una politica simile all'esempio seguente.

{
        "Sid": "Allow access for specific OUs and their descendants",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "kms:Describe*",
            "kms:List*",
            "kms:Get*",
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "aws:PrincipalOrgID": "o-123example"
            },
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "o-123example/r-ab12/ou-ab12-33333333/*",
                    "o-123example/r-ab12/ou-ab12-22222222/*"
                ]
            }
        }
}