Quiero restringir el acceso con clave de AWS Key Management Service (AWS KMS) únicamente a las entidades principales que pertenezcan a mi organización de AWS.
Breve descripción
Puede utilizar la clave de condición global aws:PrincipalOrgID con el elemento Principal en una política basada en recursos con AWS KMS. Puede especificar el ID de la organización en el elemento Condition en lugar de una lista con todos los ID de cuenta de AWS de la organización.
Solución
Utilice la clave de contexto de condición global de AWS aws:PrincipalOrgID para crear una política de claves de AWS KMS con el fin de permitir que todas las cuentas en una organización de AWS lleven a cabo acciones de AWS KMS.
Importante: Se recomienda conceder privilegios mínimos con las políticas de AWS Identity and Access Management (IAM).
Especifique el ID de su organización de AWS en el elemento Condition de la política de la instrucción. Esta política garantiza que solo las entidades principales de las cuentas de su organización puedan acceder a la clave de AWS KMS.
Para obtener el ID de la organización, siga estos pasos:
- Abra la consola de AWS Organizations.
- Seleccione Configuración.
- En Detalles de la organización, copie el ID de la organización.
{ "Sid": "Allow use of the KMS key for organization",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:GetKeyPolicy"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-xxxxxxxxxxx"
}
}
}
Esta instrucción de política de claves de AWS KMS permite que las identidades de las cuentas de AWS que pertenezcan a la organización de AWS con el ID o-xxxxxxxxxxx utilicen la clave de KMS:
Nota: La clave de contexto de condición global aws:PrincipalOrgID no se puede utilizar para restringir el acceso a una entidad principal de servicio de AWS. Los servicios de AWS que invocan una llamada a la API se crean desde una cuenta de AWS interna que no forma parte de la organización de AWS.
Información relacionada
How do I get started with AWS Organizations?
¿Cómo puedo eliminar una cuenta miembro de una organización?