View a markdown version of this page

Consentire a organizzazioni e unità organizzative di utilizzare una chiave KMS - Amazon Elastic Compute Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Consentire a organizzazioni e unità organizzative di utilizzare una chiave KMS

Se condividi un'AMI supportata da snapshot crittografati, devi anche consentire alle organizzazioni o alle unità organizzative (OU) di utilizzare le chiavi KMS utilizzate per crittografare gli snapshot.

Nota

Gli snapshot crittografati devono essere crittografati con una chiave gestita dal cliente. Non puoi condividere AMI supportate da istantanee crittografate con la chiave gestita predefinita AWS .

Per controllare l’accesso alla chiave KMS, nella policy della chiave puoi utilizzare le chiavi di condizione aws:PrincipalOrgID e aws:PrincipalOrgPaths per consentire solo l’autorizzazione dei principali specifici alle azioni specificate. Un principale può essere un utente, un ruolo IAM, un utente federato o Account AWS un utente root.

Le chiavi di condizione vengono utilizzate nel modo seguente:

  • aws:PrincipalOrgID – Consente qualsiasi principale appartenente all'organizzazione rappresentato dall'ID specificato.

  • aws:PrincipalOrgPaths – Consente qualsiasi principale appartenente alle OU rappresentato dai percorsi specificati.

Per concedere a un'organizzazione (includendo le OU e gli account che le appartengono) l'autorizzazione a utilizzare una chiave KMS, aggiungi la seguente istruzione alla policy della chiave.

{ "Sid": "Allow access for organization root", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-123example" } } }

Per concedere a unità organizzative specifiche (e agli account di loro appartenenza) l'autorizzazione a utilizzare una chiave KMS, puoi utilizzare una policy simile a quella riportata nell'esempio seguente.

{ "Sid": "Allow access for specific OUs and their descendants", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-123example" }, "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-123example/r-ab12/ou-ab12-33333333/*", "o-123example/r-ab12/ou-ab12-22222222/*" ] } } }

Per altri esempi di istruzioni delle condizioni, consulta aws:PrincipalOrgID e aws:PrincipalOrgPaths nella Guida per l'utente di IAM.

Per informazioni sull'accesso multi-account, consulta Autorizzazione per gli utenti in altri account a utilizzare una chiave KMS nella Guida per gli sviluppatori di AWS Key Management Service .