액세스 AWS Secrets Manager 다른 계정의 비밀

하나의 계정에 속한 사용자가 다른 계정의 보안 암호에 액세스하도록 허용하려면(교차 계정 액세스) 리소스 정책 및 ID 정책 모두에서 액세스를 허용해야 합니다. 이는 보안 암호와 동일한 계정의 자격 증명에 액세스를 부여하는 것과 다릅니다.

또한 비밀이 암호화된 KMS 키를 ID가 사용할 수 있도록 허용해야 합니다. 사용할 수 없기 때문입니다. AWS 관리형 키 (aws/secretsmanager) 계정 간 액세스용. 대신 직접 만든 키로 비밀번호를 암호화한 다음 KMS 키 정책을 추가해야 합니다. KMS키 생성에는 요금이 부과됩니다. 보안 암호에 대한 암호화 키를 변경하려면 AWS Secrets Manager 시크릿 수정 단원을 참조하세요.

다음 예제 정책에서는 계정1에 보안 암호 및 암호화 키가 있고, 보안 암호 값에 액세스할 수 있도록 허용할 자격 증명이 계정2에 있다고 가정합니다.

1단계: Account1의 보안 암호에 리소스 정책 연결

• 다음 정책은 다음을 허용합니다.ApplicationRole 인 Account2 에서 시크릿에 액세스할 수 있습니다.Account1. 이 정책을 사용하려면 을 참조하십시오AWS Secrets Manager 보안 암호에 권한 정책 연결.

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
        },
        "Action": "secretsmanager:GetSecretValue",
        "Resource": "*"
      }
    ]
  }

2단계: Account1의 키에 대한 KMS 키 정책에 설명 추가

• 다음 주요 정책 설명에서는 다음을 허용합니다.ApplicationRole 인 Account2 에서 KMS 키를 사용할 수 있습니다.Account1 시크릿 암호 해독하기 Account1. 이 설명을 사용하려면 해당 설명을 키의 키 정책에 추가하세요KMS. 자세한 내용은 키 정책 변경을 참조하세요.

  {
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
    },
    "Action": [
      "kms:Decrypt",
      "kms:DescribeKey"
    ],
    "Resource": "*"
  }

3단계: Account2의 자격 증명에 자격 증명 정책 연결

• 다음 정책은 다음을 허용합니다.ApplicationRole 인 Account2 에서 시크릿에 액세스할 수 있습니다.Account1 함께 들어 있는 암호화 키를 사용하여 비밀 값을 복호화합니다.Account1. 이 정책을 사용하려면 을 참조하십시오자격 증명에 권한 정책 연결. Secrets Manager 콘솔의 시크릿 세부 정보 페이지에서 시크릿에 ARN 대한 정보를 찾을 수 ARN 있습니다. 또는 describe-secret을 호출할 수 있습니다.

  {
    "Version" : "2012-10-17",
    "Statement" : [
      {
        "Effect": "Allow",
        "Action": "secretsmanager:GetSecretValue",
        "Resource": "SecretARN"
      },
      {
        "Effect": "Allow",
        "Action": "kms:Decrypt",
        "Resource": "arn:aws:kms:Region:Account1:key/EncryptionKey"
      }
    ]
  }