


Breve descrizione
------------------



La chiave di condizione globale [aws:PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) può essere utilizzata con l'elemento [Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) in una [policy basata sulle risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) con AWS KMS. Invece di elencare tutti gli ID degli account AWS in un'organizzazione, puoi specificare l'ID dell'organizzazione nell'elemento [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html).



Soluzione
-----------



Crea una policy della chiave AWS KMS per consentire a tutti gli account di un'organizzazione AWS di eseguire azioni AWS KMS utilizzando la chiave di condizione globale contestuale **aws:PrincipalOrgID**.


**Importante:** È consigliabile [concedere il privilegio minimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) nelle autorizzazioni con le policy di AWS Identity and Access Management (IAM).


Specifica il tuo ID dell'organizzazione AWS nell'elemento condizionale della dichiarazione per assicurarti che solo i principali degli account della tua organizzazione possano accedere alla chiave AWS KMS. Per ottenere l'ID dell'organizzazione, segui questi passaggi:


1. Apri la [console AWS Organizations](https://console.aws.amazon.com/organizations/).
2. Scegli **Impostazioni**.
3. In **dettagli dell'organizzazione**, copia l'ID dell'organizzazione.


La seguente dichiarazione sulla policy della chiave AWS KMS consente alle identità di qualsiasi account AWS appartenente all'organizzazione AWS con ID **o-xxxxxxxxxxx** di utilizzare la chiave KMS:





```plaintext
{
  "Sid": "Allow use of the KMS key for organization",
  "Effect": "Allow",
  "Principal": {
    "AWS": "*"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:Encrypt",
    "kms:ReEncrypt*",
    "kms:GetKeyPolicy"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:PrincipalOrgID": "o-xxxxxxxxxxx"
    }
  }
}
```



**Nota:** La chiave di condizione globale contestuale **aws:PrincipalOrgID** non può essere utilizzata per limitare l'accesso a un [responsabile del servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services). I servizi AWS che richiamano una chiamata API vengono creati da un account AWS interno che non fa parte dell'organizzazione AWS.





---




Informazioni correlate
--------------------



[Come posso iniziare a usare AWS Organizations?](https://repost.aws/it/knowledge-center/get-started-organizations)


[Come faccio a rimuovere un account membro dalla fattura consolidata di un'organizzazione in AWS Organizations?](https://repost.aws/it/knowledge-center/remove-account-from-consolidated-billing)







Voglio limitare l'accesso alle chiavi del Servizio di gestione delle chiavi AWS (AWS KMS) ai soli responsabili appartenenti alla mia organizzazione AWS.

Consenti a tutti gli account AWS Organization di utilizzare una chiave AWS KMS

Come posso consentire a tutti gli account di un'organizzazione AWS di utilizzare una chiave AWS KMS nel mio account?

Sicurezza, identità e conformità

In che modo posso condividere le mie chiavi di AWS KMS su più account AWS?

Perché mi vengono addebitate le chiavi AWS KMS?

Devo utilizzare una chiave gestita da AWS KMS o una chiave gestita dal cliente KMS per crittografare i miei oggetti su Amazon S3?

Il mio bucket Amazon S3 dispone di una crittografia predefinita che utilizza una chiave AWS KMS personalizzata. Come posso consentire agli utenti di scaricare e caricare contenuti nel bucket?

Come posso consentire a tutti gli account di un'organizzazione AWS di utilizzare una chiave AWS KMS nel mio account?

Breve descrizione

Soluzione

Informazioni correlate

Contenuto pertinente