Accédez aux AWS Secrets Manager secrets depuis un autre compte

Pour autoriser les utilisateurs d'un compte à accéder aux secrets d'un autre compte (accès entre comptes), vous devez autoriser l'accès dans une stratégie de ressource et dans une stratégie d'identité. Cela diffère de l'octroi d'accès aux identités dans le même compte que le secret.

Vous devez également autoriser l'identité à utiliser la KMS clé avec laquelle le secret est chiffré. Cela est dû au fait que vous ne pouvez pas utiliser le Clé gérée par AWS (aws/secretsmanager) pour un accès entre comptes. Au lieu de cela, vous devez chiffrer votre secret avec une KMS clé que vous créez, puis y associer une politique de clé. La création de KMS clés est payante. Pour modifier la clé de chiffrement d'un secret, consultez Modifier un AWS Secrets Manager secret.

Les exemples de stratégies suivants partent du principe que vous disposez d'un secret et d'une clé de chiffrement dans le Compte1, et d'une identité dans le Compte2 qui doit être autorisée à accéder à la valeur de secret.

Étape 1 : attacher une stratégie de ressources au secret dans Account1

La politique suivante permet ApplicationRole dans Account2 pour accéder au secret dans Account1. Pour utiliser cette politique, consultezPolitiques basées sur les ressources.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*"
    }
  ]
}

Étape 2 : Ajouter une déclaration à la politique clé pour la KMS clé dans Account1

La déclaration de politique clé suivante permet ApplicationRole dans Account2 pour utiliser la KMS clé Account1 pour déchiffrer le secret dans Account1. Pour utiliser cette déclaration, ajoutez-la à la politique de clé de votre KMS clé. Consultez Modification d'une stratégie de clé pour de plus amples informations.
```
{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}
```

Étape 3 : attacher une stratégie d'identité à l'identité dans Account2

La politique suivante permet ApplicationRole dans Account2 pour accéder au secret dans Account1 et décryptez la valeur secrète en utilisant la clé de chiffrement qui se trouve également dans Account1. Pour utiliser cette politique, consultezPolitiques basées sur l’identité. Vous pouvez trouver votre secret dans la ARN console Secrets Manager, sur la page de détails du secret, sous Secret ARN. Vous pouvez aussi appeler describe-secret.
```
{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "SecretARN"
    },
    {
      "Effect": "Allow",
      "Action": "kms:Decrypt",
      "Resource": "arn:aws:kms:Region:Account1:key/EncryptionKey"
    }
  ]
}
```

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Déterminer qui a les autorisations pour vos secrets

Accès sur site