Memungkinkan organisasi dan OUs menggunakan KMS kunci - Amazon Elastic Compute Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memungkinkan organisasi dan OUs menggunakan KMS kunci

Jika Anda berbagi AMI yang didukung oleh snapshot terenkripsi, Anda juga harus mengizinkan organisasi atau menggunakan AWS KMS keys yang digunakan OUs untuk mengenkripsi snapshot.

Gunakan aws:PrincipalOrgPaths tombol aws:PrincipalOrgID dan untuk membandingkan AWS Organizations jalur untuk kepala sekolah yang membuat permintaan ke jalur dalam kebijakan. Prinsipal itu dapat berupa pengguna, IAM peran, pengguna federasi, atau pengguna Akun AWS root. Dalam kebijakan, kunci kondisi ini memastikan bahwa pemohon adalah anggota akun dalam akar organisasi yang ditentukan atau OUs di AWS Organizations. Untuk contoh pernyataan kondisi lainnya, lihat aws:PrincipalOrgIDdan aws:PrincipalOrgPathsdi Panduan IAM Pengguna.

Untuk informasi tentang mengedit kebijakan utama, lihat Mengizinkan pengguna di akun lain menggunakan KMS kunci di Panduan AWS Key Management Service Pengembang.

Untuk memberikan izin organisasi atau OU untuk menggunakan KMS kunci, tambahkan pernyataan berikut ke kebijakan kunci.

{
    "Sid": "Allow access for organization root",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "kms:Describe*",
        "kms:List*",
        "kms:Get*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "o-123example"
        }
    }
}

Untuk berbagi KMS kunci dengan beberapaOUs, Anda dapat menggunakan kebijakan yang mirip dengan contoh berikut.

{
        "Sid": "Allow access for specific OUs and their descendants",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "kms:Describe*",
            "kms:List*",
            "kms:Get*",
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "aws:PrincipalOrgID": "o-123example"
            },
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "o-123example/r-ab12/ou-ab12-33333333/*",
                    "o-123example/r-ab12/ou-ab12-22222222/*"
                ]
            }
        }
}