Direkt zum Inhalt
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Wie kann ich allen Konten in einer AWS-Organisation gestatten, einen AWS-KMS-Schlüssel in meinem Konto zu verwenden?

Lesedauer: 2 Minute
0

Ich möchte den AWS Key Management Service (AWS KMS)-Schlüsselzugriff nur auf die Prinzipale beschränken, die zu meiner AWS-Organisation gehören.

Kurzbeschreibung

Du kannst den globalen Bedingungsschlüssel aws:PrincipalOrgID zusammen mit dem Prinzipal-Element in einer ressourcenbasierten Richtlinie mit AWS KMS verwenden. Anstatt alle AWS-Konto-IDs in einer Organisation aufzulisten, kannst du die Organisations-ID im Bedingungs-Element angeben.

Lösung

Verwende den globalen AWS-Bedingungskontextschlüssel aws:PrincipalOrgID, um eine AWS-KMS-Schlüsselrichtlinie zu erstellen, die es allen Konten in einer AWS-Organisation ermöglicht, AWS-KMS-Aktionen durchzuführen

Wichtig: Es hat sich bewährt, mithilfe von AWS Identity and Access Management (IAM)-Richtlinien die geringste Berechtigung zu erteilen.

Gib deine AWS-Organisations-ID im Bedingungselement der Anweisungsrichtlinie an. Diese Richtlinie stellt sicher, dass nur die Prinzipale der Konten in deiner Organisation auf den AWS-KMS-Schlüssel zugreifen können.

Gehe wie folgt vor, um die Organisations-ID abzurufen:

  1. Öffne die AWS-Organizations-Konsole.
  2. Wähle Einstellungen.
  3. Kopiere in den Organization details (Organisationsdetails) die Organisations-ID.
{  "Sid": "Allow use of the KMS key for organization",
  "Effect": "Allow",
  "Principal": {
    "AWS": "*"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:Encrypt",
    "kms:ReEncrypt*",
    "kms:GetKeyPolicy"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:PrincipalOrgID": "o-xxxxxxxxxxx"
    }
  }
}

Diese AWS-KMS-Schlüsselrichtlinie ermöglicht es den Identitäten von AWS-Konten, die der AWS-Organisation mit der ID o-xxxxxxxxxxx gehören, den KMS-Schlüssel zu verwenden:

Hinweis: Der globale Bedingungskontextschlüssel aws:PrincipalOrgID kann nicht verwendet werden, um den Zugriff auf einen AWS-Service-Prinzipal einzuschränken. AWS-Services, die einen API-Aufruf aufrufen, werden von einem internen AWS-Konto aus ausgeführt, das nicht Teil der AWS-Organisation ist.

Ähnliche Informationen

Wie fange ich mit AWS Organizations an?

Wie entferne ich ein Mitgliedskonto aus einer Organisation?

Themen
Security, Identity, & Compliance
Tags
AWS Key Management Service
Sprache
Deutsch

Ähnliche Videos

Sieh dir Ravis Video an, um mehr zu erfahren (5:01)
Sieh dir Ravis Video an, um mehr zu erfahren (5:01)
AWS OFFICIALAktualisiert vor 2 Jahren

Relevanter Inhalt