View a markdown version of this page

Autoriser les organisations et les unités d’organisation à utiliser une clé KMS - Amazon Elastic Compute Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autoriser les organisations et les unités d’organisation à utiliser une clé KMS

Si vous partagez une AMI basée sur des instantanés chiffrés, vous devez également autoriser les organisations ou les unités d’organisation (UO) à utiliser les clés KMS qui ont été utilisées pour chiffrer les instantanés.

Note

Les instantanés chiffrés doivent être chiffrés à l’aide d’une clé gérée par le client. Vous ne pouvez pas partager d'AMI basées sur des instantanés chiffrés avec la clé AWS gérée par défaut.

Pour contrôler l’accès à la clé KMS, dans la stratégie de clé, vous pouvez utiliser les clés de condition aws:PrincipalOrgID et aws:PrincipalOrgPaths pour n’autoriser que des principaux spécifiques à effectuer les actions spécifiées. Un principal peut être un utilisateur, un rôle IAM, un utilisateur fédéré ou un utilisateur Compte AWS root.

Les clés de condition sont utilisées comme suit :

  • aws:PrincipalOrgID : Autorise tout principal appartenant à l’organisation représentée par l’ID spécifié.

  • aws:PrincipalOrgPaths : Autorise tout principal appartenant aux UO représentées par les chemins d’accès spécifiés.

Pour accorder à une organisation (y compris les UO et les comptes qui lui appartiennent) l’autorisation d’utiliser une clé KMS, ajoutez la déclaration suivante à la stratégie de clé.

{ "Sid": "Allow access for organization root", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-123example" } } }

Pour accorder à des UO spécifiques (et aux comptes qui leur appartiennent) l’autorisation d’utiliser une clé KMS, vous pouvez utiliser une stratégie similaire à l’exemple suivant.

{ "Sid": "Allow access for specific OUs and their descendants", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-123example" }, "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-123example/r-ab12/ou-ab12-33333333/*", "o-123example/r-ab12/ou-ab12-22222222/*" ] } } }

Pour plus d’exemples de déclarations de condition, consultez aws:PrincipalOrgID et aws:PrincipalOrgPaths dans le Guide de l’utilisateur IAM.

Pour plus d’informations sur l’accès intercomptes, consultez la section Autoriser les utilisateurs d’autres comptes à utiliser une clé KMS dans le Guide du développeur AWS Key Management Service (langue française non garantie).