Come posso consentire a tutti gli account di un'organizzazione AWS di utilizzare una chiave AWS KMS nel mio account?

2 minuti di lettura
0

Desidero limitare l'accesso alle chiavi del Servizio di gestione delle chiavi AWS (AWS KMS) alle sole entità appartenenti alla mia organizzazione AWS.

Breve descrizione

La chiave di condizione globale aws:PrincipalOrgID può essere utilizzata con l'elemento Principale in una policy basata sulle risorse con AWS KMS. Invece di elencare tutti gli ID degli account AWS in un'organizzazione, puoi specificare l'ID dell'organizzazione nell'elemento Condizione.

Risoluzione

Crea una policy della chiave AWS KMS per consentire a tutti gli account di un'organizzazione AWS di eseguire azioni AWS KMS utilizzando la chiave di condizione globale contestuale aws:PrincipalOrgID

Importante: è consigliabile concedere il privilegio minimo nelle autorizzazioni con le policy di AWS Identity and Access Management (IAM).

Specifica il tuo AWS Organization ID nell'elemento condizionale della policy della dichiarazione. Questa policy assicura che solo i responsabili degli account della tua organizzazione possano accedere alla chiave AWS KMS.

Per ottenere l'ID dell'organizzazione, segui questi passaggi:

  1. Apri la console AWS Organizations.
  2. Scegli Impostazioni.
  3. In dettagli dell'organizzazione, copia l'ID dell'organizzazione.
{  "Sid": "Allow use of the KMS key for organization",
  "Effect": "Allow",
  "Principal": {
    "AWS": "*"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:Encrypt",
    "kms:ReEncrypt*",
    "kms:GetKeyPolicy"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:PrincipalOrgID": "o-xxxxxxxxxxx"
    }
  }
}

La seguente dichiarazione sulla policy della chiave AWS KMS consente alle identità di qualsiasi account AWS appartenente all'organizzazione AWS con ID o-xxxxxxxxxxx di utilizzare la chiave KMS:

Nota: La chiave di condizione globale contestuale aws:PrincipalOrgID non può essere utilizzata per limitare l'accesso a un responsabile del servizio AWS. I servizi AWS che richiamano una chiamata API vengono creati da un account AWS interno che non fa parte dell'organizzazione AWS.

Informazioni correlate

How do I get started with AWS Organizations?

Come faccio a rimuovere un account membro da un'organizzazione?

AWS UFFICIALE
AWS UFFICIALEAggiornata un anno fa