Comment puis-je autoriser tous les comptes d'une organisation AWS à utiliser une clé AWS KMS dans mon compte ?

Lecture de 2 minute(s)

Je souhaite restreindre l'accès aux clés AWS Key Management Service (AWS KMS) uniquement aux principaux appartenant à mon organisation AWS.

Brève description

La clé de condition globale aws:PrincipalOrgID peut être utilisée avec l'élément Principal dans une politique basée sur les ressources avec AWS KMS. Au lieu de répertorier tous les ID de compte AWS d'une organisation, vous pouvez spécifier l'ID d'organisation dans l'élément Condition.

Solution

Créez une politique de clé AWS KMS pour permettre à tous les comptes d'une organisation AWS d'effectuer des actions AWS KMS à l'aide de la clé de contexte de condition globale AWS aws:PrincipalOrgID.

Important : il est recommandé d'accorder des autorisations de moindre privilège avec les politiques AWS Identity and Access Management (IAM).

Spécifiez votre ID d'organisation AWS dans l'élément condition de l'instruction pour vous assurer que seuls les principaux des comptes de votre organisation peuvent accéder à la clé AWS KMS. Pour obtenir l'ID de l'organisation, procédez comme suit :

Ouvrez la console AWS Organizations.
Sélectionnez Settings (Paramètres).
Dans Organization details (Détails de l'organisation), copiez l'ID de l'organisation.

L'énoncé de politique clé AWS KMS suivant permet aux identités de tout compte AWS appartenant à l'organisation AWS avec l'ID o-xxxxxxxxxxx d'utiliser la clé KMS :

{
  "Sid": "Allow use of the KMS key for organization",
  "Effect": "Allow",
  "Principal": {
    "AWS": "*"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:Encrypt",
    "kms:ReEncrypt*",
    "kms:GetKeyPolicy"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:PrincipalOrgID": "o-xxxxxxxxxxx"
    }
  }
}

Remarque : la clé de contexte de condition globale aws:PrincipalOrgID ne peut pas être utilisée pour restreindre l'accès à un principal de service AWS. Les services AWS qui invoquent un appel d'API sont lancés à partir d'un compte AWS interne qui ne fait pas partie de l'organisation AWS.

Informations connexes

Comment démarrer avec AWS Organizations ?

Comment retirer un compte membre d'une facture consolidée d'une organisation dans AWS Organizations ?

Sujets

Sécurité, identité et conformité

Balises

AWS Key Management Service

Langue

Français

AWS OFFICIELA mis à jour il y a 3 ans

Aucun commentaire

Contenus pertinents

Compte piraté - Facturation
roym
demandé il y a 8 mois
Compte bloque je n'arrive plus a acceder au compt
Shekina Banza
demandé il y a un mois
Sagemaker/Support : Urgence et Prise en compte des tickets
Romuald
demandé il y a 4 mois
Je n'arrive pas à me Connecter sur AWS
Pierre Ndiaye
demandé il y a 10 mois
comment creer une compte console AWS sans carte du credit?
daddy
demandé il y a 10 mois
Comment puis-je empêcher les politiques IAM d'autoriser un utilisateur ou un rôle à accéder à une clé KMS dans AWS KMS ?
AWS OFFICIELA mis à jour il y a un an
Pourquoi les clés AWS KMS me sont-elles facturées ?
AWS OFFICIELA mis à jour il y a un an
Comment partager mes clés AWS KMS sur plusieurs comptes AWS ?
AWS OFFICIELA mis à jour il y a 10 mois
Comment puis-je autoriser les comptes AWS de mon organisation à publier des messages dans une rubrique Amazon SNS de mon compte ?
AWS OFFICIELA mis à jour il y a un an