


Breve descrição
------------------



A chave de condição global [aws:PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) pode ser usada com o elemento [Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma [política baseada em recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) com o AWS KMS. Em vez de listar todas as IDs de conta da AWS em uma Organização, você pode especificar a ID da organização no elemento [Condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html).



Resolução
-----------



Crie uma política de chave do AWS KMS para permitir que todas as contas em uma Organização da AWS realizem ações do AWS KMS usando a chave de contexto de condição global da AWS **aws:PrincipalOrgID**.


**Importante:** É uma prática recomendada [conceder permissões de privilégio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) com as políticas do AWS Identity and Access Management (IAM).


Especifique sua ID de Organização da AWS no elemento de condição da declaração para garantir que somente as entidades principais das contas em sua Organização possam acessar a chave do AWS KMS. Para obter a ID da Organização, siga estas etapas:


1. Abra o [console do AWS Organizations](https://console.aws.amazon.com/organizations/).
2. Escolha **Settings (Configurações)**.
3. Em **Organization details (Detalhes da organização)**, copie a ID da organização.


A seguinte declaração de política de chave do AWS KMS permite que as identidades de qualquer conta da AWS pertencente à organização da AWS com ID **o-xxxxxxxxxxx** usem a chave do KMS:





```plaintext
{
  "Sid": "Allow use of the KMS key for organization",
  "Effect": "Allow",
  "Principal": {
    "AWS": "*"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:Encrypt",
    "kms:ReEncrypt*",
    "kms:GetKeyPolicy"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:PrincipalOrgID": "o-xxxxxxxxxxx"
    }
  }
}
```



**Observação:** A chave de contexto de condição global **aws:PrincipalOrgID** não pode ser usada para restringir o acesso a uma [entidade principal da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services). Os serviços da AWS que invocam uma chamada da API são feitos a partir de uma conta interna da AWS que não faz parte da Organização da AWS.





---




Informações relacionadas
--------------------



[Como faço para começar a usar o AWS Organizations?](https://repost.aws/pt/knowledge-center/get-started-organizations)


[Como faço para remover uma conta de membro da fatura consolidada de uma organização no AWS Organizations?](https://repost.aws/pt/knowledge-center/remove-account-from-consolidated-billing)







Quero restringir o acesso à chave do AWS Key Management Service (AWS KMS) somente às entidades principais pertencentes à minha Organização da AWS.

Permitir que todas as contas da Organização da AWS usem uma chave do AWS KMS

Como posso permitir que todas as contas em uma Organização da AWS usem uma chave do AWS KMS em minha conta?

Segurança, identidade e conformidade

Como posso usar um único par de chaves SSH em todas as regiões da AWS?

Por que as contas em minha organização aparecem como “suspensas” no console do AWS Organizations?

Como compartilho minhas chaves AWS KMS através de várias contas AWS?

Como resolvo o erro “A nova política de chaves não permitirá que você atualize a política de chaves no futuro” quando tento criar uma chave do AWS KMS usando o AWS CloudFormation?

Como posso permitir que todas as contas em uma Organização da AWS usem uma chave do AWS KMS em minha conta?

Breve descrição

Resolução

Informações relacionadas

Conteúdo relevante