Greifen Sie von einem anderen Konto aus auf AWS Secrets Manager Geheimnisse zu - AWS Secrets Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Greifen Sie von einem anderen Konto aus auf AWS Secrets Manager Geheimnisse zu

So können Sie Benutzern in einem Konto den Zugriff auf Secrets in einem anderen Konto gewähren (Kontoübergreifender Zugriff). Sie müssen den Zugriff sowohl in einer Ressourcenrichtlinie als auch in einer Identitätsrichtlinie zulassen. Dies unterscheidet sich von dem Gewähren des Zugriffs auf Identitäten in demselben Konto wie das Secret.

Sie müssen der Identität auch erlauben, den KMS Schlüssel zu verwenden, mit dem das Geheimnis verschlüsselt ist. Das liegt daran, dass Sie das Von AWS verwalteter Schlüssel (aws/secretsmanager) nicht für den kontoübergreifenden Zugriff verwenden können. Stattdessen müssen Sie Ihr Geheimnis mit einem KMS Schlüssel verschlüsseln, den Sie selbst erstellen, und ihm dann eine Schlüsselrichtlinie zuordnen. Die Erstellung von KMS Schlüsseln ist kostenpflichtig. Informationen zum Ändern des Verschlüsselungsschlüssels für ein Secret finden Sie unter Ein AWS Secrets Manager Geheimnis ändern.

In den folgenden Beispielrichtlinien wird davon ausgegangen, dass Sie ein Secret und einen Verschlüsselungsschlüssel in Konto1und eine Identität in Konto2 besitzen, womit Sie auf den Secret-Wert zugreifen möchten.

Schritt 1: Fügen Sie dem Secret in Account1 eine Ressourcen-Richtlinie hinzu
  • Die folgende Richtlinie ermöglicht ApplicationRole in Account2 um auf das Geheimnis zuzugreifen in Account1. Informationen zur Verwendung dieser Richtlinie finden Sie unterRessourcenbasierte Richtlinien.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Account2:role/ApplicationRole" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] }
Schritt 2: Fügen Sie der Schlüsselrichtlinie für den KMS Schlüssel in Account1 eine Erklärung hinzu
  • Die folgende wichtige Grundsatzerklärung ermöglicht ApplicationRole in Account2 um den KMS Schlüssel zu verwenden Account1 um das Geheimnis zu entschlüsseln in Account1. Um diese Anweisung zu verwenden, fügen Sie sie der Schlüsselrichtlinie für Ihren KMS Schlüssel hinzu. Weitere Informationen finden Sie unter Changing a key policy (Ändern einer Schlüsselrichtlinie).

    { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Account2:role/ApplicationRole" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" }
Schritt 3: Hängen Sie eine Identitätsrichtlinie an die Identität in Account2 an
  • Die folgende Richtlinie ermöglicht ApplicationRole in Account2 um auf das Geheimnis zuzugreifen in Account1 und entschlüsseln Sie den geheimen Wert mithilfe des Verschlüsselungsschlüssels, der sich ebenfalls in Account1. Informationen zur Verwendung dieser Richtlinie finden Sie unterIdentitätsbasierte Richtlinien. Sie finden das ARN für Ihr Geheimnis in der Secrets Manager-Konsole auf der Seite mit den geheimen Details unter Geheim ARN. Alternativ können Sie describe-secret aufrufen.

    { "Version" : "2012-10-17", "Statement" : [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "SecretARN" }, { "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:Region:Account1:key/EncryptionKey" } ] }