


Breve descripción
------------------



La clave de condición global [aws:PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) se puede utilizar con el elemento de [Entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una [política basada en recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) con AWS KMS. En lugar de enumerar todos los ID de cuenta de AWS de una organización, puede especificar el ID de la organización en el elemento de [Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html).



Resolución
-----------



Cree una política de claves de AWS KMS para permitir que todas las cuentas de una organización de AWS realicen acciones de AWS KMS mediante la clave de contexto de condición global de AWS **aws:PrincipalOrgID**.


**Importante:** Se recomienda [conceder permisos de privilegio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) con las políticas de Identity and Access Management (IAM) de AWS.


Especifique su ID de organización de AWS en el elemento de condición de la declaración para asegurarse de que solo las entidades principales de las cuentas de su organización puedan acceder a la clave de AWS KMS. Para obtener el ID de la organización, siga estos pasos:


1. Abra la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/).
2. Seleccione **Configuración**.
3. En **Detalles de la organización**, copie el ID de la organización.


La siguiente declaración de política de claves de AWS KMS permite que las identidades de cualquier cuenta de AWS que pertenezca a la organización de AWS con el ID **o-xxxxxxxxxxx** utilicen la clave de KMS:





```plaintext
{
  "Sid": "Allow use of the KMS key for organization",
  "Effect": "Allow",
  "Principal": {
    "AWS": "*"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:Encrypt",
    "kms:ReEncrypt*",
    "kms:GetKeyPolicy"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:PrincipalOrgID": "o-xxxxxxxxxxx"
    }
  }
}
```



**Nota:** La clave de contexto de condición global **aws:PrincipalOrgID** no se puede utilizar para restringir el acceso a una [entidad principal de servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services). Los servicios de AWS que invocan una llamada a la API se crean desde una cuenta de AWS interna que no forma parte de la organización de AWS.





---




Información relacionada
--------------------



[¿Cómo puedo empezar a utilizar AWS Organizations?](https://repost.aws/es/knowledge-center/get-started-organizations)


[¿Cómo elimino una cuenta de miembro de una factura consolidada de la organización en AWS Organizations?](https://repost.aws/es/knowledge-center/remove-account-from-consolidated-billing)







Quiero restringir la clave de acceso de AWS Key Management Service (AWS KMS) únicamente a las entidades principales que pertenezcan a mi organización de AWS.

Permitir que todas las cuentas de la organización de AWS usen una clave de AWS KMS

¿Cómo puedo permitir que todas las cuentas de una organización de AWS usen una clave de AWS KMS en mi cuenta?

Seguridad, identidad y cumplimiento

¿Cómo comparto mis claves de AWS KMS entre varias cuentas de AWS?

¿Cómo puedo resolver el error «La nueva política de claves no le permitirá actualizarla en el futuro» cuando intento crear una clave de AWS KMS con AWS CloudFormation?

¿Cómo puedo permitir que todas las cuentas de una organización de AWS usen una clave de AWS KMS en mi cuenta?

Breve descripción

Resolución

Información relacionada

Contenido relevante