允许企业和 OU 使用 KMS 密钥

如果您共享由加密快照支持的 AMI，则还须允许组织或 OU 使用用于加密快照的 AWS KMS keys。

使用 aws:PrincipalOrgID 和 aws:PrincipalOrgPaths 密钥可将发出请求的委托人的 AWS Organizations 路径与策略中的路径进行比较。该主体可以是用户、IAM 角色、联合用户或 AWS 账户 根用户。在策略中，此条件密钥可确保请求者是 AWS Organizations 中指定企业根或 OU 的账户成员。有关更多示例条件语句，请参阅《IAM 用户指南》https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid中的 aws:PrincipalOrgID 和 aws:PrincipalOrgPaths。

有关编辑密钥政策的信息，请参阅《AWS Key Management Service 开发人员指南》中的允许其它账户中的用户使用 KMS 密钥。

要向企业或 OU 授予使用 KMS 密钥的权限，请向密钥策略添加以下语句。

{
    "Sid": "Allow access for organization root",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "kms:Describe*",
        "kms:List*",
        "kms:Get*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "o-123example"
        }
    }
}

要与多个 OU 共享 KMS 密钥，则可以使用类似以下示例的策略。

{
        "Sid": "Allow access for specific OUs and their descendants",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "kms:Describe*",
            "kms:List*",
            "kms:Get*",
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "aws:PrincipalOrgID": "o-123example"
            },
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "o-123example/r-ab12/ou-ab12-33333333/*",
                    "o-123example/r-ab12/ou-ab12-22222222/*"
                ]
            }
        }
}