Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Accedi ai AWS Secrets Manager segreti da un altro account
Per consentire agli utenti in un account di accedere ai segreti in un altro account (accesso tra account), è necessario consentire l'accesso sia in una policy delle risorse che in una policy di identità. Ciò è diverso dalla concessione dell'accesso alle identità nello stesso account del segreto.
È inoltre necessario consentire all'identità di utilizzare la chiave KMS con cui il segreto è crittografato. Questo perché non puoi usare Chiave gestita da AWS (aws/secretsmanager
) per l'accesso tra account diversi. È invece necessario crittografare il segreto con una chiave KMS creata e quindi allegare ad esso un criterio chiave. È previsto un addebito per la creazione di chiavi KMS. Per modificare la chiave di crittografia per un segreto, vedere Modifica un AWS Secrets Manager segreto.
I criteri di esempio seguenti presuppongono di disporre di una chiave segreta e di crittografia in Account1, e un'identità in Account2 che vuoi consentire ad accedere al valore segreto.
Fase 1: Allegare una policy delle risorse al segreto in Account1
-
La seguente politica consente
Per utilizzare questa policy, consultare Allegare una policy di autorizzazione a un segreto AWS Secrets Manager.ApplicationRole
inAccount2
di accedere al segreto in Account1.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
Account2
:role/ApplicationRole
" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] }
Fase 2: Aggiungere un'istruzione alla policy della chiave per la chiave KMS in Account1
-
La seguente dichiarazione politica chiave consente
Per utilizzare questa istruzione, aggiungerla al criterio chiave per la chiave KMS. Per ulteriori informazioni, vedere Modifica di una policy delle chiavi.ApplicationRole
inAccount2
di utilizzare la chiave KMS in Account1 per decrittografare il segreto inAccount1
.{ "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
Account2
:role/ApplicationRole
" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" }
Fase 3: Allegare una policy di identità all'identità in Account2
La seguente politica consente
Per utilizzare questa policy, vedere Allegare un policy di autorizzazione a un'identità. Puoi trovare l'ARN per il tuo segreto nella console di Secrets Manager nella pagina dei dettagli segreti sotto ARN del segreto. In alternativa, è possibile chiamareApplicationRole
aAccount2 di accedere al segreto in
e di decrittografare il valore segreto utilizzando la chiave di crittografia che si trova anche in Account1.Account1
describe-secret
.{ "Version" : "2012-10-17", "Statement" : [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "
SecretARN
" }, { "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:Region
:Account1
:key/EncryptionKey
" } ] }