本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
允許組織和OUs使用KMS金鑰
如果您共AMI用由加密快照支援的快照,您也必須允許組織或OUs使用 AWS KMS keys 用來加密快照的組織。
使用aws:PrincipalOrgID
和索aws:PrincipalOrgPaths
引鍵來比較要求原則中 AWS Organizations 路徑的主參與者路徑的路徑。該主體可以是使用者、IAM角色、同盟使用者或 AWS 帳戶 根使用者。在策略中,此條件索引鍵可確保要求者是指定組織根目錄或OUs中 AWS Organizations的帳戶成員。如需條件陳述式的更多範例,請參閱《IAM使用指南》aws:PrincipalOrgPaths中的aws:PrincipalOrgID和。
如需有關編輯金鑰政策的詳細資訊,請參閱AWS Key Management Service 開發人員指南中的允許其他帳戶中的使用者使用KMS金鑰。
若要授與組織或 OU 使用KMS金鑰的權限,請將下列陳述式新增至金鑰原則。
{ "Sid": "Allow access for organization root", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "
o-123example
" } } }
若要與多個KMS金鑰共用OUs,您可以使用類似下列範例的原則。
{ "Sid": "Allow access for specific OUs and their descendants", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "
o-123example
" }, "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-123example/r-ab12/ou-ab12-33333333/*
", "o-123example/r-ab12/ou-ab12-22222222/*
" ] } } }