本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 允許組織和 OU 使用 KMS 金鑰
<a name="allow-org-ou-to-use-key"></a>

如果您共用加密快照支援的 AMI，您還必須允許組織或組織單位 (OU) 使用用於加密快照的 KMS 金鑰。

**注意**  
加密快照必須透過*客戶受管*金鑰進行加密。您無法共用由使用預設 AWS 受管金鑰加密的快照所支援的 AMIs。

若要控制 KMS 金鑰的存取權，您可在[金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) 和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) 條件金鑰，僅允許特定主體對指定動作的權限。委託人可以是使用者、IAM 角色、聯合身分使用者或 AWS 帳戶 根使用者。

條件金鑰使用方式如下：
+ `aws:PrincipalOrgID` - 允許屬於指定 ID 所代表組織的任何主體。
+ `aws:PrincipalOrgPaths` - 允許屬於指定路徑所代表 OU 的任何主體。

若要授予組織 (包括所屬的 OU 和帳戶) 使用 KMS 金鑰的權限，請將以下陳述式新增至金鑰政策。

```
{
    "Sid": "Allow access for organization root",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "kms:Describe*",
        "kms:List*",
        "kms:Get*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "o-123example"
        }
    }
}
```

若要授予特定 OU (及其所屬帳戶) 使用 KMS 金鑰的權限，您可以使用與下列範例類似的政策。

```
{
        "Sid": "Allow access for specific OUs and their descendants",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "kms:Describe*",
            "kms:List*",
            "kms:Get*",
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:CreateGrant"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "aws:PrincipalOrgID": "o-123example"
            },
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "o-123example/r-ab12/ou-ab12-33333333/*",
                    "o-123example/r-ab12/ou-ab12-22222222/*"
                ]
            }
        }
}
```

如需更多條件陳述式範例，請參閱*「IAM 使用者指南」*中的 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) 和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths)。

如需跨帳户存取權的更多相關資訊，請參閱「AWS Key Management Service 開發人員指南」**中的[允許其他帳戶中的使用者使用 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html)。