


Kurzbeschreibung
------------------



Der globale Bedingungsschlüssel [aws:PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) kann zusammen mit dem [Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)-Element in einer [ressourcenbasierten Richtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) mit AWS KMS verwendet werden. Anstatt alle AWS-Konto-IDs in einer Organisation aufzulisten, können Sie die Organisations-ID im Element [Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) angeben.



Lösung
-----------



Erstellen Sie eine AWS KMS-Schlüsselrichtlinie, die es allen Konten in einer AWS-Organisation ermöglicht, AWS KMS-Aktionen mithilfe des globalen Bedingungskontextschlüssels **aws:principalOrgID** durchzuführen.


**Wichtig:** Es ist eine bewährte Methode, mithilfe der Richtlinien von AWS Identity and Access Management (IAM) die [geringsten Rechte zu gewähren](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege).


Geben Sie Ihre AWS-Organisations-ID im Bedingungselement der Abrechnung an, um sicherzustellen, dass nur die Principals der Konten in Ihrer Organisation auf den AWS KMS-Schlüssel zugreifen können. Gehen Sie folgendermaßen vor, um die Organisations-ID zu erhalten:


1. Öffnen Sie die [AWS Organizations-Konsole](https://console.aws.amazon.com/organizations/).
2. Wählen Sie **Einstellungen**.
3. Kopieren Sie in den **Organisationsdetails** die Organisations-ID.


Die folgende grundlegende Richtlinie für AWS KMS ermöglicht es den Identitäten aller AWS-Konten, die der AWS-Organisation mit der ID **o-xxxxxxxxxxx** gehören, den KMS-Schlüssel zu verwenden:





```plaintext
{
  "Sid": "Allow use of the KMS key for organization",
  "Effect": "Allow",
  "Principal": {
    "AWS": "*"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:Encrypt",
    "kms:ReEncrypt*",
    "kms:GetKeyPolicy"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:PrincipalOrgID": "o-xxxxxxxxxxx"
    }
  }
}
```



**Hinweis:** Der globale Bedingungskontextschlüssel **aws:PrincipalOrgID** kann nicht verwendet werden, um den Zugriff auf einen [AWS-Service-Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services) einzuschränken. AWS-Services, die einen API-Aufruf aufrufen, werden von einem internen AWS-Konto aus ausgeführt, das nicht Teil der AWS-Organisation ist.





---




Ähnliche Informationen
--------------------



[Wie fange ich mit AWS Organizations an?](https://repost.aws/de/knowledge-center/get-started-organizations)


[Wie entferne ich ein Mitgliedskonto aus der konsolidierten Rechnung einer Organisation in AWS Organizations?](https://repost.aws/de/knowledge-center/remove-account-from-consolidated-billing)







Ich möchte den Schlüsselzugriff auf AWS Key Management Service (AWS KMS) nur auf die Principals beschränken, die zu meiner AWS-Organisation gehören.

Allen AWS-Organisationskonten die Verwendung eines AWS KMS-Schlüssels gestatten

Wie kann ich allen Konten in einer AWS-Organisation gestatten, einen AWS KMS-Schlüssel in meinem Konto zu verwenden?

Sicherheit, Identität & Konformität

Wie kann ich eine Lambda-Funktion, die in einem AWS-Konto erstellt wurde, mit einer benutzerdefinierten AWS CloudFormation-Ressource in einem anderen AWS-Konto verwenden?

Wie kann ich allen Konten in einer AWS-Organisation gestatten, einen AWS KMS-Schlüssel in meinem Konto zu verwenden?

Kurzbeschreibung

Lösung

Ähnliche Informationen

Relevanter Inhalt