Como posso permitir que todas as contas em uma Organização da AWS usem uma chave do AWS KMS em minha conta?

2 minuto de leitura
0

Quero restringir o acesso à chave do AWS Key Management Service (AWS KMS) somente às entidades principais pertencentes à minha Organização da AWS.

Breve descrição

Você pode usar a chave de condição global aws:PrincipalOrgID com o elemento Principal em uma política baseada em recursos com o AWS KMS. Você pode especificar o ID da organização no elemento Condição em vez de uma lista para todos os IDs de conta da AWS em uma organização.

Resolução

Use a chave de contexto de condição global da AWS aws:PrincipalOrgID para criar uma política de chaves do AWS KMS para permitir que todas as contas em uma organização da AWS realizem ações do AWS KMS

Importante: é uma prática recomendada conceder permissões de privilégio mínimo com as políticas do AWS Identity and Access Management (IAM).

Especifique sua ID de organização da AWS no elemento de condição da política de declaração. Essa política garante que somente os diretores das contas em sua organização possam acessar a chave do AWS KMS.

Para obter a ID da Organização, siga estas etapas:

  1. Abra o console do AWS Organizations.
  2. Escolha Settings (Configurações).
  3. Em Detalhes da organização, copie a ID da organização.
{  "Sid": "Allow use of the KMS key for organization",
  "Effect": "Allow",
  "Principal": {
    "AWS": "*"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:Encrypt",
    "kms:ReEncrypt*",
    "kms:GetKeyPolicy"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:PrincipalOrgID": "o-xxxxxxxxxxx"
    }
  }
}

Esta declaração de política de chaves do AWS KMS permite que identidades de contas da AWS que pertencem à organização da AWS com ID o-xxxxxxxxxxx usem a chave KMS:

Observação: A chave de contexto de condição global aws:PrincipalOrgID não pode ser usada para restringir o acesso a uma entidade principal da AWS. Os serviços da AWS que invocam uma chamada da API são feitos a partir de uma conta interna da AWS que não faz parte da Organização da AWS.

Informações relacionadas

Como faço para começar a usar o AWS Organizations?

Como removo uma conta-membro de uma organização?

AWS OFICIAL
AWS OFICIALAtualizada há um ano