Zugriff AWS Secrets Manager Geheimnisse von einem anderen Konto

So können Sie Benutzern in einem Konto den Zugriff auf Secrets in einem anderen Konto gewähren (Kontoübergreifender Zugriff). Sie müssen den Zugriff sowohl in einer Ressourcenrichtlinie als auch in einer Identitätsrichtlinie zulassen. Dies unterscheidet sich von dem Gewähren des Zugriffs auf Identitäten in demselben Konto wie das Secret.

Sie müssen der Identität auch erlauben, den KMS Schlüssel zu verwenden, mit dem das Geheimnis verschlüsselt ist. Das liegt daran, dass Sie das nicht verwenden können Von AWS verwalteter Schlüssel (aws/secretsmanager) für kontoübergreifenden Zugriff. Stattdessen müssen Sie Ihr Geheimnis mit einem KMS Schlüssel verschlüsseln, den Sie selbst erstellen, und diesem dann eine Schlüsselrichtlinie zuordnen. Die Erstellung von KMS Schlüsseln ist kostenpflichtig. Informationen zum Ändern des Verschlüsselungsschlüssels für ein Secret finden Sie unter Ein AWS Secrets Manager Geheimnis ändern.

In den folgenden Beispielrichtlinien wird davon ausgegangen, dass Sie ein Secret und einen Verschlüsselungsschlüssel in Konto1und eine Identität in Konto2 besitzen, womit Sie auf den Secret-Wert zugreifen möchten.

Schritt 1: Fügen Sie dem Secret in Account1 eine Ressourcen-Richtlinie hinzu

Die folgende Richtlinie ermöglicht ApplicationRole in Account2 um auf das Geheimnis zuzugreifen in Account1. Informationen zur Verwendung dieser Richtlinie finden Sie unterZuordnen einer Berechtigungsrichtlinie zu einem AWS Secrets Manager -Secret.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*"
    }
  ]
}

Schritt 2: Fügen Sie der Schlüsselrichtlinie für den KMS Schlüssel in Account1 eine Erklärung hinzu

Die folgende wichtige Grundsatzerklärung ermöglicht ApplicationRole in Account2 um den KMS Schlüssel zu verwenden Account1 um das Geheimnis zu entschlüsseln in Account1. Um diese Anweisung zu verwenden, fügen Sie sie der Schlüsselrichtlinie für Ihren KMS Schlüssel hinzu. Weitere Informationen finden Sie unter Changing a key policy (Ändern einer Schlüsselrichtlinie).
```
{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}
```

Schritt 3: Hängen Sie eine Identitätsrichtlinie an die Identität in Account2 an

Die folgende Richtlinie ermöglicht ApplicationRole in Account2 um auf das Geheimnis zuzugreifen in Account1 und entschlüsseln Sie den geheimen Wert mithilfe des Verschlüsselungsschlüssels, der sich ebenfalls in Account1. Informationen zur Verwendung dieser Richtlinie finden Sie unterAnhängen einer Berechtigungsrichtlinie an eine Identität. Sie finden das ARN für Ihr Geheimnis in der Secrets Manager-Konsole auf der Seite mit den geheimen Details unter Geheim ARN. Alternativ können Sie describe-secret aufrufen.
```
{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "SecretARN"
    },
    {
      "Effect": "Allow",
      "Action": "kms:Decrypt",
      "Resource": "arn:aws:kms:Region:Account1:key/EncryptionKey"
    }
  ]
}
```

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Bestimmen, wer Berechtigungen für Ihre -Secrets hat

Lokaler Zugriff