Acesso AWS Secrets Manager segredos de uma conta diferente - AWS Secrets Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Acesso AWS Secrets Manager segredos de uma conta diferente

Para permitir que os usuários de uma conta acessem segredos em outra conta (acesso entre contas), você deve permitir o acesso em uma política de recursos e em uma política de identidade. Isso é diferente de conceder acesso a identidades na mesma conta do segredo.

Você também deve permitir que a identidade use a KMS chave com a qual o segredo está criptografado. Isso ocorre porque você não pode usar o Chave gerenciada pela AWS (aws/secretsmanager) para acesso entre contas. Em vez disso, você deve criptografar seu segredo com uma KMS chave criada por você e, em seguida, anexar uma política de chaves a ela. Há uma taxa pela criação de KMS chaves. Para alterar a chave de criptografia de um segredo, consulte Modificar um AWS Secrets Manager segredo.

Os exemplos de políticas a seguir supõem que você tenha um segredo e uma chave de criptografia na Conta1 e uma identidade na Conta2, à qual você quer permitir acesso ao valor do segredo.

Etapa 1: anexar uma política de recursos ao segredo na Conta1

  • A política a seguir permite ApplicationRole em Account2 para acessar o segredo em Account1. Para usar essa política, consulteAnexo de uma política de permissões a um segredo do AWS Secrets Manager.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*"
    }
  ]
}
Etapa 2: Adicionar uma declaração à política de chaves para a KMS chave na Conta 1

  • A seguinte declaração de política chave permite ApplicationRole em Account2 para usar a KMS chave em Account1 para decifrar o segredo em Account1. Para usar essa declaração, adicione-a à política de chaves da sua KMS chave. Para obter mais informações, consulte Alterar uma política de chaves.

    {
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}
Etapa 3: anexar uma política de identidade à identidade na Conta2

  • A política a seguir permite ApplicationRole em Account2 para acessar o segredo em Account1 e decifre o valor secreto usando a chave de criptografia que também está em Account1. Para usar essa política, consulteAnexar uma política de permissões a uma identidade. Você pode encontrar o ARN segredo no console do Secrets Manager na página de detalhes do segredo, em Segredo ARN. Como alternativa, você pode chamar describe-secret.

    {
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "SecretARN"
    },
    {
      "Effect": "Allow",
      "Action": "kms:Decrypt",
      "Resource": "arn:aws:kms:Region:Account1:key/EncryptionKey"
    }
  ]
}