从其他账户访问 AWS Secrets Manager 密钥

一个账户中的用户可以访问另一个账户中的密钥（跨账户访问），您必须允许在资源策略和身份策略中进行访问。这与授予密钥所在账户中的身份访问权限不同。

您还必须允许身份使用密钥加密的 KMS 密钥。这是因为您不能使用 AWS 托管式密钥 (aws/secretsmanager) 进行跨账户访问。相反，您必须使用您创建的 KMS 密钥加密密钥，然后随附密钥策略。创建 KMS 密钥需支付费用。要更改密钥的加密密钥，请参阅修改 AWS Secrets Manager 密钥。

下列示例策略假定您在 Account1 中有密钥和加密密钥，而在 Account2 的身份希望有访问密钥值的权限。

步骤 1：将资源策略附加到 Account1 中的密钥

下列策略允许 Account2 中的 ApplicationRole 访问 Account1 中的密钥。要查看该策略，请参阅基于资源的策略。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*"
    }
  ]
}

步骤 2：将语句添加到 Account1 中 KMS 密钥的密钥策略中

以下密钥政策声明允许 Account2 中的 ApplicationRole 使用 Account1 中的 KMS 密钥来解密 Account1。要使用此语句，请将其添加到 KMS 密钥的密钥策略中。有关更多信息，请参阅更改密钥政策。
```
{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}
```

步骤 3：将身份策略附加到 Account2 中的身份

以下策略允许 Account2 中的 ApplicationRole 访问 Account1 中密钥，并通过使用 Account1 中的加密密钥来解密密钥。要使用该策略，请参阅基于身份的策略。您可以在 Secrets Manager 控制台的密钥详细信息页面的密钥 ARN 下方找到您的密钥 ARN。此外，您也可以调用 describe-secret。
```
{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "SecretARN"
    },
    {
      "Effect": "Allow",
      "Action": "kms:Decrypt",
      "Resource": "arn:aws:kms:Region:Account1:key/EncryptionKey"
    }
  ]
}
```

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

确定谁有权限访问您的密钥

本地访问