Accede a AWS Secrets Manager los secretos desde una cuenta diferente - AWS Secrets Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Accede a AWS Secrets Manager los secretos desde una cuenta diferente

Para permitir que los usuarios de una cuenta de obtengan acceso a otra cuenta (acceso entre cuentas), debe permitir el acceso tanto en una política de recursos como en una política de identidad. Esto es diferente de conceder acceso a identidades en la misma cuenta que el secreto.

También debes permitir que la identidad utilice la KMS clave con la que está cifrado el secreto. Esto se debe a que no puedes usar el Clave administrada de AWS (aws/secretsmanager) para el acceso entre cuentas. En su lugar, debes cifrar tu secreto con una KMS clave que tú crees y, a continuación, adjuntarle una política de claves. La creación de KMS claves conlleva un coste. Para cambiar la clave de cifrado de un secreto, consulte Modificación de un secreto de AWS Secrets Manager.

Las siguientes políticas de ejemplo suponen que tiene un secreto y una clave de cifrado en la Account1, y una identidad en la Account2 a la que desea permitir acceder al valor secreto.

Paso 1: adjunte una política de recursos al secreto de Account1

  • La siguiente política permite ApplicationRole acceder Account2 a la entrada secretaAccount1. Para utilizar esta política, visite Políticas basadas en recursos.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*"
    }
  ]
}
Paso 2: Añade una declaración a la política de claves para la KMS clave de Account1

  • La siguiente declaración de política clave Account2 permite ApplicationRole utilizar la KMS clave Account1 para descifrar el secreto. Account1 Para usar esta declaración, agréguela a la política de claves de su KMS clave. Para obtener más información, consulte Changing a key policy.

    {
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}
Paso 3: adjunte una política de identidad a la identidad de Account2

  • La siguiente política permite que ApplicationRole en Account2 acceda al secreto de Account1 y descifre el valor secreto mediante la clave de cifrado que también está en Account1. Para utilizar esta política, visite Políticas basadas en identidad. Puedes encontrar el secreto ARN de tu secreto en la consola Secrets Manager, en la página de detalles del secreto, en Secreto ARN. También puede llamar a describe-secret.

    {
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "SecretARN"
    },
    {
      "Effect": "Allow",
      "Action": "kms:Decrypt",
      "Resource": "arn:aws:kms:Region:Account1:key/EncryptionKey"
    }
  ]
}