嗨,伙计们,请问我能像在我的策略中使用下面的Cloudtrail一样,在AWS服务主体中使用PrincipalOrgID吗?
"Sid":"Allow Cloudtrail to encrypt logs",
"Effect": "Allow",
"Principal":{
"Service":"cloudtrail.amazonaws.com"
},
"Action": "kms:GenerateDataKey*",
"Resource": "*",
"Condition":{
"StringEquals":{
"aws:PrincipalOrgID": "${var.organization_id}"
}
}
},
不行。cloudtrail
是AWS服务,不是您的organization
的一部分。从文档:
只有当主体是组织的成员时,该键才包含在请求上下文中.