Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Consenti alle organizzazioni OUs di utilizzare una chiave KMS Se condividi un'AMI supportata da istantanee crittografate, devi anche consentire alle organizzazioni o alle unità organizzative (OUs) di utilizzare le chiavi KMS utilizzate per crittografare le istantanee. **Nota** Gli snapshot crittografati devono essere crittografati con una chiave *gestita dal cliente*. Non puoi condividerle AMIs supportate da istantanee crittografate con la chiave gestita predefinita. AWS Per controllare l’accesso alla chiave KMS, nella [policy della chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) puoi utilizzare le chiavi di condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) per consentire solo l’autorizzazione dei principali specifici alle azioni specificate. Un principale può essere un utente, un ruolo IAM, un utente federato o un utente Account AWS root. Le chiavi di condizione vengono utilizzate nel modo seguente: + `aws:PrincipalOrgID` – Consente qualsiasi principale appartenente all'organizzazione rappresentato dall'ID specificato. + `aws:PrincipalOrgPaths`— Consente qualsiasi principale appartenente ai percorsi OUs rappresentati dai percorsi specificati. Per concedere a un'organizzazione (inclusi OUs gli account che le appartengono) l'autorizzazione a utilizzare una chiave KMS, aggiungi la seguente dichiarazione alla politica chiave. ``` { "Sid": "Allow access for organization root", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-123example" } } } ``` Per concedere l'autorizzazione specifica OUs (e agli account che ne fanno parte) all'uso di una chiave KMS, puoi utilizzare una politica simile all'esempio seguente. ``` { "Sid": "Allow access for specific OUs and their descendants", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-123example" }, "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-123example/r-ab12/ou-ab12-33333333/*", "o-123example/r-ab12/ou-ab12-22222222/*" ] } } } ``` Per altri esempi di istruzioni delle condizioni, consulta [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) nella *Guida per l'utente di IAM*. Per informazioni sull'accesso multi-account, consulta [Autorizzazione per gli utenti in altri account a utilizzare una chiave KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.