翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
別のアカウントのユーザーの AWS Secrets Manager シークレットに対するアクセス許可
1 つのアカウントのユーザーに別のアカウントのシークレットへのアクセス (クロスアカウントアクセス) を許可するには、リソースポリシーとアイデンティティポリシーの両方でアクセスを許可する必要があります。これは、シークレットと同じアカウントのアイデンティティにアクセスを許可することとは異なります。
また、シークレットの暗号化に使用している KMS キーをアイデンティティで使用できるようにする必要があります。これは、クロスアカウントアクセスに AWS マネージドキー (aws/secretsmanager) を使用することができないためです。代わりに、作成した KMS キーを使用してシークレットを暗号化し、キーポリシーをそれにアタッチする必要があります。KMS キーの作成には料金が発生します。シークレットの暗号化キーを変更するには、AWS Secrets Manager シークレットを変更する を参照してください。
以下のポリシーの例では、Account1 にシークレットと暗号化キーがあり、Account2 にシークレット値へのアクセスを許可するアイデンティティがあると仮定します。
ステップ 1: リソースポリシーを Account1 のシークレットにアタッチする
-
次のポリシーは、
Account2のApplicationRoleにAccount1のシークレットへのアクセスを許可します。このポリシーを使用するには、アクセス許可ポリシーを AWS Secrets Manager シークレットにアタッチする を参照してください。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Account2:role/ApplicationRole" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] }
ステップ 2: Account1 の KMS キーのキーポリシーにステートメントを追加する
-
次のキーポリシーステートメントは、
Account2のApplicationRoleがAccount1の KMS キーを使用してAccount1のシークレットを復号するのを許可します。このステートメントを使用するには、それを KMS キーのキーポリシーに追加します。詳細については、キーポリシーの変更を参照してください。{ "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Account2:role/ApplicationRole" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" }
ステップ 3: Account2 のアイデンティティにアイデンティティポリシーをアタッチする
次のポリシーは、
Account2のApplicationRoleがAccount1にある暗号化キーを使用て、Account1のシークレットにアクセスし、シークレット値を復号するのを許可します。このポリシーを使用するには、アクセス許可ポリシーをアイデンティティにアタッチする を参照してください。シークレットの ARN は、Secrets Manager コンソールのシークレット詳細ページの [Secret ARN] (シークレット ARN) で確認できます。または、describe-secretを呼び出すこともできます。{ "Version" : "2012-10-17", "Statement" : [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "SecretARN" }, { "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:Region:Account1:key/EncryptionKey" } ] }
