조직 및 OU가 KMS 키를 사용하도록 허용 - Amazon Elastic Compute Cloud

조직 및 OU가 KMS 키를 사용하도록 허용

암호화된 스냅샷에서 지원하는 AMI를 공유하는 경우 조직 또는 OU가 스냅샷을 암호화하는 데 사용된 AWS KMS keys도 사용하도록 허용해야 합니다.

aws:PrincipalOrgIDaws:PrincipalOrgPaths 키를 사용하여 요청 중인 보안 주체의 AWS Organizations 경로를 정책의 경로와 비교합니다. 이 보안 주체는 사용자, IAM 역할, 페더레이션 사용자 또는 AWS 계정 루트 사용자일 수 있습니다. 정책에서 이 조건 키는 요청자가 AWS Organizations의 지정된 조직 루트 또는 OU 내의 계정 멤버인지 확인합니다. 더 많은 예시 조건문은 IAM 사용 설명서aws:PrincipalOrgIDaws:PrincipalOrgPaths 섹션을 참조하세요.

자세한 내용은 AWS Key Management Service 개발자 설명서Allowing users in other accounts to use a KMS key를 참조하세요.

조직 또는 OU에 KMS 키를 사용할 수 있는 권한을 부여하려면 다음 명령문을 키 정책에 추가합니다.

{
    "Sid": "Allow access for organization root",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "kms:Describe*",
        "kms:List*",
        "kms:Get*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "o-123example"
        }
    }
}

KMS 키를 여러 OU와 공유하려면 다음 예제와 유사한 정책을 사용할 수 있습니다.

{
        "Sid": "Allow access for specific OUs and their descendants",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "kms:Describe*",
            "kms:List*",
            "kms:Get*",
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "aws:PrincipalOrgID": "o-123example"
            },
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "o-123example/r-ab12/ou-ab12-33333333/*",
                    "o-123example/r-ab12/ou-ab12-22222222/*"
                ]
            }
        }
}