Wie kann ich allen Konten in einer AWS-Organisation gestatten, einen AWS KMS-Schlüssel in meinem Konto zu verwenden?

Lesedauer: 2 Minute
0

Ich möchte den Schlüsselzugriff auf AWS Key Management Service (AWS KMS) nur auf die Principals beschränken, die zu meiner AWS-Organisation gehören.

Kurzbeschreibung

Sie können den globale Bedingungsschlüssel aws:PrincipalOrgID zusammen mit dem Principal-Element in einer ressourcenbasierten Richtlinie mit AWS KMS verwenden. Anstatt alle AWS-Konto-IDs in einer Organisation aufzulisten, können Sie die Organisations-ID im Element Bedingung angeben.

Behebung

Verwenden Sie den AWS globalen Bedingungskontextschlüssel aws:principalOrgID, um eine AWS KMS-Schlüsselrichtlinie zu erstellen, die es allen Konten in einer AWS-Organisation ermöglicht, AWS KMS-Aktionen durchzuführen

Wichtig: Es ist eine bewährte Methode, mithilfe der Richtlinien von AWS Identity and Access Management (IAM) die geringsten Rechte zu gewähren.

Geben Sie Ihre AWS-Organisations-ID im Bedingungselement der Kontoauszugsrichtlinie an. Diese Richtlinie stellt sicher, dass nur die Principals der Konten in Ihrer Organisation auf den AWS-KMS-Schlüssel zugreifen können.

Gehen Sie folgendermaßen vor, um die Organisations-ID zu erhalten:

  1. Öffnen Sie die AWS Organizations-Konsole.
  2. Wählen Sie Einstellungen.
  3. Kopieren Sie in den Organisationsdetails die Organisations-ID.
{  "Sid": "Allow use of the KMS key for organization",
  "Effect": "Allow",
  "Principal": {
    "AWS": "*"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:Encrypt",
    "kms:ReEncrypt*",
    "kms:GetKeyPolicy"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:PrincipalOrgID": "o-xxxxxxxxxxx"
    }
  }
}

Diese grundlegende Richtlinie für AWS KMS ermöglicht es den Identitäten von AWS-Konten, die der AWS-Organisation mit der ID o-xxxxxxxxxxx gehören, den KMS-Schlüssel zu verwenden:

Hinweis: Der globale Bedingungskontextschlüssel aws:PrincipalOrgID kann nicht verwendet werden, um den Zugriff auf einen AWS-Service-Principal einzuschränken. AWS-Services, die einen API-Aufruf aufrufen, werden von einem internen AWS-Konto aus ausgeführt, das nicht Teil der AWS-Organisation ist.

Ähnliche Informationen

Wie fange ich mit AWS Organizations an?

Wie entferne ich ein Mitgliedskontos aus einer Organisation?

AWS OFFICIAL
AWS OFFICIALAktualisiert vor einem Jahr