本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
允許組織和 OUs使用KMS金鑰
如果您共用由加密快照支援的 AMI ,您還必須允許組織OUs或使用用來加密快照 AWS KMS keys 的 。
使用 aws:PrincipalOrgID和 aws:PrincipalOrgPaths鍵比較提出請求的主體與政策中路徑的 AWS Organizations 路徑。該主體可以是使用者、IAM角色、聯合使用者或 AWS 帳戶 根使用者。在政策中,此條件金鑰可確保請求者是指定組織根或 OUs中的帳戶成員 AWS Organizations。如需更多條件陳述式範例,請參閱 aws:PrincipalOrgID 和 aws:PrincipalOrgPaths (在 IAM 使用者指南中)
如需有關編輯金鑰政策的資訊,請參閱 AWS Key Management Service 開發人員指南 中的允許其他帳戶中的使用者使用KMS金鑰。
若要授予組織或 OU 使用KMS金鑰的許可,請將下列陳述式新增至金鑰政策。
{ "Sid": "Allow access for organization root", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-123example" } } }
若要與多個 共用KMS金鑰OUs,您可以使用類似下列範例的政策。
{ "Sid": "Allow access for specific OUs and their descendants", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-123example" }, "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-123example/r-ab12/ou-ab12-33333333/*", "o-123example/r-ab12/ou-ab12-22222222/*" ] } } }
