允許組織和OUs使用KMS金鑰 - Amazon Elastic Compute Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

允許組織和OUs使用KMS金鑰

如果您共AMI用由加密快照支援的快照,您也必須允許組織或OUs使用 AWS KMS keys 用來加密快照的組織。

使用aws:PrincipalOrgID和索aws:PrincipalOrgPaths引鍵來比較要求原則中 AWS Organizations 路徑的主參與者路徑的路徑。該主體可以是使用者、IAM角色、同盟使用者或 AWS 帳戶 根使用者。在策略中,此條件索引鍵可確保要求者是指定組織根目錄或OUs中 AWS Organizations的帳戶成員。如需條件陳述式的更多範例,請參閱《IAM使用指南》aws:PrincipalOrgPaths中的aws:PrincipalOrgID和。

如需有關編輯金鑰政策的詳細資訊,請參閱AWS Key Management Service 開發人員指南中的允許其他帳戶中的使用者使用KMS金鑰

若要授與組織或 OU 使用KMS金鑰的權限,請將下列陳述式新增至金鑰原則。

{
    "Sid": "Allow access for organization root",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "kms:Describe*",
        "kms:List*",
        "kms:Get*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "o-123example"
        }
    }
}

若要與多個KMS金鑰共用OUs,您可以使用類似下列範例的原則。

{
        "Sid": "Allow access for specific OUs and their descendants",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "kms:Describe*",
            "kms:List*",
            "kms:Get*",
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "aws:PrincipalOrgID": "o-123example"
            },
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "o-123example/r-ab12/ou-ab12-33333333/*",
                    "o-123example/r-ab12/ou-ab12-22222222/*"
                ]
            }
        }
}