不同账户中用户对 Amazon Secrets Manager 密钥的访问权限 - Amazon Secrets Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

不同账户中用户对 Amazon Secrets Manager 密钥的访问权限

一个账户中的用户可以访问另一个账户中的密钥(跨账户访问),您必须允许在资源策略和身份策略中进行访问。这与授予密钥所在账户中的身份访问权限不同。

您还必须允许身份使用密钥加密的 KMS 密钥。这是因为您不能使用 Amazon 托管式密钥 (aws/secretsmanager) 进行跨账户访问。相反,您必须使用您创建的 KMS 密钥加密密钥,然后随附密钥策略。创建 KMS 密钥需支付费用。要更改密钥的加密密钥,请参阅 修改 Amazon Secrets Manager 密钥

下列示例策略假定您在 Account1 中有密钥和加密密钥,而在 Account2 的身份希望有访问密钥值的权限。

步骤 1:将资源策略附加到 Account1 中的密钥
  • 下列策略允许 Account2 中的 ApplicationRole 访问 Account1 中的密钥。要查看该策略,请参阅 将权限策略附加到 Amazon Secrets Manager 密钥

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Account2:role/ApplicationRole" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] }
步骤 2:将语句添加到 Account1 中 KMS 密钥的密钥策略中
  • 以下密钥政策声明允许 Account2 中的 ApplicationRole 使用 Account1 中的 KMS 密钥来解密 Account1。要使用此语句,请将其添加到 KMS 密钥的密钥策略中。有关更多信息,请参阅更改密钥政策

    { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Account2:role/ApplicationRole" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" }
步骤 3:将身份策略附加到 Account2 中的身份
  • 以下策略允许 Account2 中的 ApplicationRole 访问 Account1 中 密钥,并通过使用 Account1 中的加密密钥来解密密钥。要使用该策略,请参阅 将权限策略附加到身份。您可以在 Secrets Manager 控制台的密钥详细信息页面的密钥 ARN 下方找到您的密钥 ARN。此外,您也可以调用 describe-secret

    { "Version" : "2012-10-17", "Statement" : [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "SecretARN" }, { "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:Region:Account1:key/EncryptionKey" } ] }