# Permitir que las organizaciones y unidades organizativas utilicen una clave de KMS Si comparte una AMI respaldada por instantáneas cifradas, también debe permitir que las organizaciones o unidades organizativas (OU) utilicen las claves de KMS que se emplearon para cifrar las instantáneas. **nota** Las instantáneas cifradas deben estar cifradas con una *clave administrada por el cliente*. No pueden compartir las AMI que están respaldadas por instantáneas cifradas con la clave predeterminada administrada por AWS. Para controlar el acceso a la clave de KMS, en la [política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) puede usar las claves de condición [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) y [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) para permitir que solo determinadas entidades principales tengan permiso para las acciones especificadas. Una entidad principal puede ser un usuario, un rol de IAM, un usuario federado o usuario raíz de Cuenta de AWS. Las claves de condición se utilizan de la siguiente manera: + `aws:PrincipalOrgID`: permite que cualquier entidad principal que pertenezca a la organización esté representada por el ID especificado. + `aws:PrincipalOrgPaths`: permite que cualquier entidad principal que pertenezca a la unidad organizativa esté representada por las rutas especificadas. Para conceder permiso a una organización (incluidas las unidades organizativas y las cuentas que pertenecen a esta) para utilizar una clave de KMS, agregue la siguiente instrucción a la política de claves. ``` { "Sid": "Allow access for organization root", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "{{o-123example}}" } } } ``` Para conceder a determinadas unidades organizativas (y a las cuentas que pertenecen a estas) permiso para utilizar una clave de KMS, puede utilizar una política similar a la del siguiente ejemplo. ``` { "Sid": "Allow access for specific OUs and their descendants", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "{{o-123example}}" }, "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "{{o-123example/r-ab12/ou-ab12-33333333/*}}", "{{o-123example/r-ab12/ou-ab12-22222222/*}}" ] } } } ``` Para ver más ejemplos de declaraciones de condiciones, consulte [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) y [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) en la *Guía del usuario de IAM*. Para obtener más información acerca del acceso entre cuentas, consulte [Cómo permitir a los usuarios de otras cuentas utilizar una clave de KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html) en la *Guía para desarrolladores de AWS Key Management Service*.