Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Akses AWS Secrets Manager rahasia dari akun yang berbeda Untuk memungkinkan pengguna dalam satu akun mengakses rahasia di akun lain (*akses lintas akun*), Anda harus mengizinkan akses baik dalam kebijakan sumber daya maupun dalam kebijakan identitas. Ini berbeda dengan memberikan akses ke identitas di akun yang sama dengan rahasia. Izin lintas akun hanya efektif untuk operasi berikut: + [CancelRotateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_CancelRotateSecret.html) + [DeleteResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DeleteResourcePolicy.html) + [DeleteSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DeleteSecret.html) + [DescribeSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DescribeSecret.html) + [GetRandomPassword](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetRandomPassword.html) + [GetResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetResourcePolicy.html) + [GetSecretValue](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetSecretValue.html) + [ListSecretVersionIds](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ListSecretVersionIds.html) + [PutResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutResourcePolicy.html) + [PutSecretValue](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutSecretValue.html) + [RemoveRegionsFromReplication](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RemoveRegionsFromReplication.html) + [ReplicateSecretToRegions](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html) + [RestoreSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RestoreSecret.html) + [RotateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RotateSecret.html) + [StopReplicationToReplica](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_StopReplicationToReplica.html) + [TagResource](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_TagResource.html) + [UntagResource](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UntagResource.html) + [UpdateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UpdateSecret.html) + [UpdateSecretVersionStage](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UpdateSecretVersionStage.html) + [ValidateResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ValidateResourcePolicy.html) Anda dapat menggunakan `BlockPublicPolicy` parameter dengan [PutResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutResourcePolicy.html)tindakan untuk membantu melindungi sumber daya Anda dengan mencegah akses publik diberikan melalui kebijakan sumber daya yang secara langsung melekat pada rahasia Anda. Anda juga dapat menggunakan [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-preview-access) untuk memverifikasi akses lintas akun. Anda juga harus mengizinkan identitas untuk menggunakan kunci KMS yang rahasianya dienkripsi. Ini karena Anda tidak dapat menggunakan Kunci yang dikelola AWS (`aws/secretsmanager`) untuk akses lintas akun. Sebagai gantinya, Anda harus mengenkripsi rahasia Anda dengan kunci KMS yang Anda buat, lalu lampirkan kebijakan kunci ke dalamnya. Ada biaya untuk membuat kunci KMS. Untuk mengubah kunci enkripsi untuk rahasia, lihat[Memodifikasi AWS Secrets Manager rahasia](manage_update-secret.md). **penting** Kebijakan berbasis sumber daya yang memberikan `secretsmanager:PutResourcePolicy` izin memberi kepala sekolah, bahkan yang ada di akun lain, kemampuan untuk mengubah kebijakan berbasis sumber daya Anda. Izin ini memungkinkan kepala sekolah meningkatkan izin yang ada seperti mendapatkan akses administratif penuh ke rahasia. Kami menyarankan Anda menerapkan prinsip [akses paling tidak istimewa ke](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) kebijakan Anda. Untuk informasi selengkapnya, lihat [Kebijakan berbasis sumber daya](auth-and-access_resource-policies.md). Contoh kebijakan berikut mengasumsikan Anda memiliki kunci rahasia dan enkripsi di *Account1*, dan identitas di *Account2* yang ingin Anda izinkan untuk mengakses nilai rahasia. **Langkah 1: Lampirkan kebijakan sumber daya ke rahasia di *Akun1*** + Kebijakan berikut memungkinkan *ApplicationRole* masuk *Account2* untuk mengakses rahasia di*Account1*. Untuk menggunakan kebijakan ini, lihat[Kebijakan berbasis sumber daya](auth-and-access_resource-policies.md). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ApplicationRole" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] } ``` ------ ***Langkah 2: Tambahkan pernyataan ke kebijakan kunci untuk kunci KMS di Akun1*** + Pernyataan kebijakan kunci berikut memungkinkan *ApplicationRole* *Account2* untuk menggunakan kunci KMS *Account1* untuk mendekripsi rahasia di. *Account1* Untuk menggunakan pernyataan ini, tambahkan ke kebijakan kunci untuk kunci KMS Anda. Untuk informasi selengkapnya, lihat [Mengubah kebijakan utama](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html). ``` { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Account2:role/ApplicationRole" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" } ``` **Langkah 3: Lampirkan kebijakan identitas ke identitas di *Akun2*** + Kebijakan berikut memungkinkan *ApplicationRole* masuk *Account2* untuk mengakses rahasia *Account1* dan mendekripsi nilai rahasia dengan menggunakan kunci enkripsi yang juga ada di. *Account1* Untuk menggunakan kebijakan ini, lihat[Kebijakan berbasis identitas](auth-and-access_iam-policies.md). Anda dapat menemukan ARN untuk rahasia Anda di konsol Secrets Manager di halaman detail rahasia di bawah Rahasia **ARN**. Atau, Anda dapat menelepon [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/describe-secret.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/describe-secret.html). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:us-east-1:123456789012:secret:secretName-AbCdEf" }, { "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-east-1:123456789012:key/EncryptionKey" } ] } ``` ------