# Permitir que organizações e UOs usem uma chave do KMS Se você compartilhar uma AMI que tenha snapshots criptografados, também deverá permitir que as organizações ou unidades organizacionais (UOs) usem as chaves do KMS que foram usadas para criptografar os snapshots. **nota** Os snapshots criptografados devem ser criptografados com uma chave *gerenciada pelo cliente*. Não é possível compartilhar AMIs que tenham snapshots que sejam criptografados com a chave gerenciada pela AWS padrão. Para controlar o acesso à chave do KMS, na [política de chave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), é possível usar as chaves de condição [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) para conceder permissão somente a determinadas entidades principais para as ações especificadas. Uma entidade principal pode ser um usuário, um perfil do IAM, um usuário federado ou um usuário-raiz da Conta da AWS. As chaves de condição são usadas da seguinte forma: + `aws:PrincipalOrgID`: permite qualquer entidade principal pertencente à organização representada pelo ID especificado. + `aws:PrincipalOrgPaths`: permite qualquer entidade principal pertencente às UOs representadas pelos caminhos especificados. Para conceder a uma organização (incluindo as UOs e contas que pertençam a ela) permissão para usar uma chave do KMS, adicione a instrução a seguir à política de chave. ``` { "Sid": "Allow access for organization root", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-123example" } } } ``` Para dar permissão a UOs específicas (e às contas que pertençam a elas) para usar uma chave do KMS, é possível usar uma política semelhante ao exemplo a seguir. ``` { "Sid": "Allow access for specific OUs and their descendants", "Effect": "Allow", "Principal": "*", "Action": [ "kms:Describe*", "kms:List*", "kms:Get*", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-123example" }, "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-123example/r-ab12/ou-ab12-33333333/*", "o-123example/r-ab12/ou-ab12-22222222/*" ] } } } ``` Para obter mais exemplos de instruções de condição, consulte [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) no *Guia do usuário do IAM*. Para obter mais informações sobre acesso entre contas, consulte [Permissão para que usuários de outras contas usem uma chave do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html) no *Guia do desenvolvedor do AWS Key Management Service*.