Come posso consentire a tutti gli account di un'organizzazione AWS di utilizzare una chiave AWS KMS nel mio account?

2 minuti di lettura
0

Voglio limitare l'accesso alle chiavi del Servizio di gestione delle chiavi AWS (AWS KMS) ai soli responsabili appartenenti alla mia organizzazione AWS.

Breve descrizione

La chiave di condizione globale aws:PrincipalOrgID può essere utilizzata con l'elemento Principal in una policy basata sulle risorse con AWS KMS. Invece di elencare tutti gli ID degli account AWS in un'organizzazione, puoi specificare l'ID dell'organizzazione nell'elemento Condition.

Soluzione

Crea una policy della chiave AWS KMS per consentire a tutti gli account di un'organizzazione AWS di eseguire azioni AWS KMS utilizzando la chiave di condizione globale contestuale aws:PrincipalOrgID.

Importante: È consigliabile concedere il privilegio minimo nelle autorizzazioni con le policy di AWS Identity and Access Management (IAM).

Specifica il tuo ID dell'organizzazione AWS nell'elemento condizionale della dichiarazione per assicurarti che solo i principali degli account della tua organizzazione possano accedere alla chiave AWS KMS. Per ottenere l'ID dell'organizzazione, segui questi passaggi:

  1. Apri la console AWS Organizations.
  2. Scegli Impostazioni.
  3. In dettagli dell'organizzazione, copia l'ID dell'organizzazione.

La seguente dichiarazione sulla policy della chiave AWS KMS consente alle identità di qualsiasi account AWS appartenente all'organizzazione AWS con ID o-xxxxxxxxxxx di utilizzare la chiave KMS:

{
  "Sid": "Allow use of the KMS key for organization",
  "Effect": "Allow",
  "Principal": {
    "AWS": "*"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:Encrypt",
    "kms:ReEncrypt*",
    "kms:GetKeyPolicy"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:PrincipalOrgID": "o-xxxxxxxxxxx"
    }
  }
}

Nota: La chiave di condizione globale contestuale aws:PrincipalOrgID non può essere utilizzata per limitare l'accesso a un responsabile del servizio AWS. I servizi AWS che richiamano una chiamata API vengono creati da un account AWS interno che non fa parte dell'organizzazione AWS.


Informazioni correlate

Come posso iniziare a usare AWS Organizations?

Come faccio a rimuovere un account membro dalla fattura consolidata di un'organizzazione in AWS Organizations?

AWS UFFICIALE
AWS UFFICIALEAggiornata 3 anni fa