Ich möchte den Schlüsselzugriff auf AWS Key Management Service (AWS KMS) nur auf die Principals beschränken, die zu meiner AWS-Organisation gehören.
Kurzbeschreibung
Sie können den globale Bedingungsschlüssel aws:PrincipalOrgID zusammen mit dem Principal-Element in einer ressourcenbasierten Richtlinie mit AWS KMS verwenden. Anstatt alle AWS-Konto-IDs in einer Organisation aufzulisten, können Sie die Organisations-ID im Element Bedingung angeben.
Behebung
Verwenden Sie den AWS globalen Bedingungskontextschlüssel aws:principalOrgID, um eine AWS KMS-Schlüsselrichtlinie zu erstellen, die es allen Konten in einer AWS-Organisation ermöglicht, AWS KMS-Aktionen durchzuführen
Wichtig: Es ist eine bewährte Methode, mithilfe der Richtlinien von AWS Identity and Access Management (IAM) die geringsten Rechte zu gewähren.
Geben Sie Ihre AWS-Organisations-ID im Bedingungselement der Kontoauszugsrichtlinie an. Diese Richtlinie stellt sicher, dass nur die Principals der Konten in Ihrer Organisation auf den AWS-KMS-Schlüssel zugreifen können.
Gehen Sie folgendermaßen vor, um die Organisations-ID zu erhalten:
- Öffnen Sie die AWS Organizations-Konsole.
- Wählen Sie Einstellungen.
- Kopieren Sie in den Organisationsdetails die Organisations-ID.
{ "Sid": "Allow use of the KMS key for organization",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:GetKeyPolicy"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-xxxxxxxxxxx"
}
}
}
Diese grundlegende Richtlinie für AWS KMS ermöglicht es den Identitäten von AWS-Konten, die der AWS-Organisation mit der ID o-xxxxxxxxxxx gehören, den KMS-Schlüssel zu verwenden:
Hinweis: Der globale Bedingungskontextschlüssel aws:PrincipalOrgID kann nicht verwendet werden, um den Zugriff auf einen AWS-Service-Principal einzuschränken. AWS-Services, die einen API-Aufruf aufrufen, werden von einem internen AWS-Konto aus ausgeführt, das nicht Teil der AWS-Organisation ist.
Ähnliche Informationen
Wie fange ich mit AWS Organizations an?
Wie entferne ich ein Mitgliedskontos aus einer Organisation?