Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memungkinkan organisasi dan OUs menggunakan KMS kunci
Jika Anda berbagi AMI yang didukung oleh snapshot terenkripsi, Anda juga harus mengizinkan organisasi atau unit organisasi (OUs) untuk menggunakan KMS kunci yang digunakan untuk mengenkripsi snapshot.
catatan
Snapshot terenkripsi harus dienkripsi dengan kunci yang dikelola pelanggan. Anda tidak dapat berbagi AMIs yang didukung oleh snapshot yang dienkripsi dengan kunci terkelola default AWS .
Untuk mengontrol akses ke KMS kunci, dalam kebijakan kunci Anda dapat menggunakan kunci aws:PrincipalOrgID
dan aws:PrincipalOrgPaths
kondisi untuk mengizinkan hanya izin prinsipal tertentu untuk tindakan yang ditentukan. Prinsipal dapat berupa pengguna, IAM peran, pengguna federasi, atau pengguna Akun AWS root.
Kunci kondisi digunakan sebagai berikut:
-
aws:PrincipalOrgID
— Memungkinkan setiap prinsipal milik organisasi yang diwakili oleh ID yang ditentukan. -
aws:PrincipalOrgPaths
— Memungkinkan setiap prinsipal milik yang OUs diwakili oleh jalur yang ditentukan.
Untuk memberikan izin kepada organisasi (termasuk akun OUs dan akun miliknya) untuk menggunakan KMS kunci, tambahkan pernyataan berikut ke kebijakan kunci.
{ "Sid": "Allow access for organization root", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "
o-123example
" } } }
Untuk memberikan izin khusus OUs (dan akun miliknya) untuk menggunakan KMS kunci, Anda dapat menggunakan kebijakan yang mirip dengan contoh berikut.
{ "Sid": "Allow access for specific OUs and their descendants", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "
o-123example
" }, "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-123example/r-ab12/ou-ab12-33333333/*
", "o-123example/r-ab12/ou-ab12-22222222/*
" ] } } }
Untuk contoh pernyataan kondisi lainnya, lihat aws:PrincipalOrgID dan aws:PrincipalOrgPaths di Panduan Pengguna IAM.
Untuk informasi tentang akses lintas akun, lihat Mengizinkan pengguna di akun lain menggunakan KMS kunci di Panduan AWS Key Management Service Pengembang.