允许企业和 OU 使用 KMS 密钥 - Amazon Elastic Compute Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

允许企业和 OU 使用 KMS 密钥

如果您共享由加密快照支持的 AMI,则还须允许组织或 OU 使用用于加密快照的 Amazon KMS keys。

使用 aws:PrincipalOrgIDaws:PrincipalOrgPaths 密钥可将发出请求的委托人的 Amazon Organizations 路径与策略中的路径进行比较。该主体可以是用户、IAM 角色、联合用户或 Amazon Web Services 账户 根用户。在策略中,此条件密钥可确保请求者是 Amazon Organizations 中指定企业根或 OU 的账户成员。有关更多示例条件语句,请参阅《IAM 用户指南》https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid中的 aws:PrincipalOrgIDaws:PrincipalOrgPaths

有关编辑密钥政策的信息,请参阅《Amazon Key Management Service 开发人员指南》中的允许其它账户中的用户使用 KMS 密钥

要向企业或 OU 授予使用 KMS 密钥的权限,请向密钥策略添加以下语句。

{ "Sid": "Allow access for organization root", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-123example" } } }

要与多个 OU 共享 KMS 密钥,则可以使用类似以下示例的策略。

{ "Sid": "Allow access for specific OUs and their descendants", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-123example" }, "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-123example/r-ab12/ou-ab12-33333333/*", "o-123example/r-ab12/ou-ab12-22222222/*" ] } } }