Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

Comment puis-je autoriser tous les comptes d'une organisation AWS à utiliser une clé AWS KMS dans mon compte ?

Lecture de 2 minute(s)

Je souhaite limiter l'accès aux clés AWS Key Management Service (AWS KMS) uniquement aux principaux membres de mon organisation AWS.

Brève description

Vous pouvez utiliser la clé de condition globale aws:PrincipalOrgID avec l'élément Principal dans une politique basée sur les ressources avec AWS KMS. Vous pouvez spécifier l'ID de l'organisation dans l'élément Condition au lieu d'une liste de tous les ID de compte AWS d'une organisation.

Résolution

Utilisez la clé de contexte de condition globale aws:PrincipalOrgID pour créer une politique de clé AWS KMS afin de permettre à tous les comptes d'une organisation AWS d'effectuer des actions AWS KMS

**Important :**Il est recommandé d’accorder les autorisations de moindre privilège avec les politiques AWS Identity and Access Management (IAM).

Spécifiez votre identifiant d'organisation AWS dans l'élément Condition de la politique de l’instruction. Cette politique garantit que seuls les principaux membres des comptes de votre organisation peuvent accéder à la clé AWS KMS.

Pour obtenir l'identifiant de l'organisation, procédez comme suit :

Ouvrez la console AWS Organizations.
Choisissez Réglages.
Dans Détails de l'organisation, copiez l'ID de l'organisation.

{  "Sid": "Allow use of the KMS key for organization",
  "Effect": "Allow",
  "Principal": {
    "AWS": "*"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:Encrypt",
    "kms:ReEncrypt*",
    "kms:GetKeyPolicy"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:PrincipalOrgID": "o-xxxxxxxxxxx"
    }
  }
}

Cet énoncé de stratégie de clés AWS KMS autorise les identités des comptes AWS appartenant à l'organisation AWS et portant l'ID o-xxxxxxxxxxx à utiliser la clé KMS :

Remarque : La clé de contexte de condition globale aws:PrincipalOrgID ne peut pas être utilisée pour restreindre l'accès à un principal de service AWS. Les services AWS qui invoquent un appel d'API sont effectués à partir d'un compte AWS interne qui ne fait pas partie de l'organisation AWS.

Informations connexes

Comment prendre AWS Organizations en main ?

Comment puis-je supprimer un compte membre d'une organisation ?

Sujets

Sécurité, identité et conformité

Balises

AWS Key Management Service

Langue

Français

AWS OFFICIELA mis à jour il y a 2 ans

Aucun commentaire

Contenus pertinents

Résillier tous les abonnements et les moniteurs
Raphael
demandé il y a 5 mois
comment creer une compte console AWS sans carte du credit?
daddy
demandé il y a 2 ans
J'ai un nom de domaine sur un compte fermé et je voudrais le résilier mais je peux pas
nathan
demandé il y a un an
Problème de connexion - Compte AWS
Thomas M
demandé il y a un an
Compte suspendu
Gautier
demandé il y a 7 mois
Comment puis-je empêcher les politiques IAM d'autoriser un utilisateur ou un rôle à accéder à une clé KMS dans AWS KMS ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment partager mes clés AWS KMS sur plusieurs comptes AWS ?
AWS OFFICIELA mis à jour il y a 2 ans
Mon compartiment Amazon S3 utilise un chiffrement par défaut avec une clé AWS KMS personnalisée. Comment autoriser des utilisateurs à télécharger depuis et charger vers le compartiment ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment puis-je utiliser une AMI chiffrée dans mon groupe Auto Scaling qu'un autre compte a partagé avec moi ?
AWS OFFICIELA mis à jour il y a un an