No.1339 AWSのKMSキー使用許可に関して正しい記述はどれでしょうか？

暗号化されたスナップショットによってバックアップされたAMIを共有する場合、組織またはOUはスナップショットの暗号化に使用されたKMSキーの使用を許可する必要はない。
aws:PrincipalOrgIDとaws:PrincipalOrgPathsキーを使うと、リクエスタがIAMロールであることが保証される。
aws:PrincipalOrgIDとaws:PrincipalOrgPathsキーは、ポリシー内のパスと、リクエストを行っているプリンシパルのAWS Organizationsパスを比較するために使用される。

TOPへ

暗号化されたスナップショットによってバックアップされたAMIを共有する場合、組織またはOUはスナップショットの暗号化に使用されたKMSキーの使用を許可する必要はない。
不正解これは不正解です。暗号化されたスナップショットによってバックアップされたAMIを共有する場合、組織またはOUはスナップショットの暗号化に使用されたKMSキーの使用を許可する必要があります。
aws:PrincipalOrgIDとaws:PrincipalOrgPathsキーを使うと、リクエスタがIAMロールであることが保証される。
不正解これは不正解です。これらのキーはリクエスタが組織ルートまたはOU内のアカウントメンバーであることを保証しますが、リクエスタがIAMロールであることを保証するものではありません。
aws:PrincipalOrgIDとaws:PrincipalOrgPathsキーは、ポリシー内のパスと、リクエストを行っているプリンシパルのAWS Organizationsパスを比較するために使用される。
正解これは正解です。これらのキーを使うことで、リクエスタがAWS Organizationsで指定された組織ルートまたはOU内のアカウントメンバーであることが保証されます。

TOPへ

組織と OU に KMS キーの使用を許可する