如果您共享由加密快照支持的 AMI,则还须允许组织或 OU 使用用于加密快照的 AWS KMS keys。
使用 aws:PrincipalOrgID 和 aws:PrincipalOrgPaths 密钥可将发出请求的委托人的 AWS Organizations 路径与策略中的路径进行比较。该主体可以是用户、IAM 角色、联合用户或 AWS 账户 根用户。在策略中,此条件密钥可确保请求者是 AWS Organizations 中指定企业根或 OU 的账户成员。有关更多示例条件语句,请参阅《IAM 用户指南》https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid中的 aws:PrincipalOrgID 和 aws:PrincipalOrgPaths。
有关编辑密钥政策的信息,请参阅《AWS Key Management Service 开发人员指南》中的允许其它账户中的用户使用 KMS 密钥。
要向企业或 OU 授予使用 KMS 密钥的权限,请向密钥策略添加以下语句。
{ "Sid": "Allow access for organization root", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*"
], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-123example"
}
}
}要与多个 OU 共享 KMS 密钥,则可以使用类似以下示例的策略。
{ "Sid": "Allow access for specific OUs and their descendants", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*"
], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-123example"
}, "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-123example/r-ab12/ou-ab12-33333333/*", "o-123example/r-ab12/ou-ab12-22222222/*"
]
}
}
}
