从其他账户访问 Amazon Secrets Manager 密钥
一个账户中的用户可以访问另一个账户中的密钥(跨账户访问),您必须允许在资源策略和身份策略中进行访问。这与授予密钥所在账户中的身份访问权限不同。
跨账户权限仅对以下操作有效:
您可以结合使用 BlockPublicPolicy 参数和 PutResourcePolicy 操作,通过阻止利用直接附加到您密钥的资源策略授予公共访问权限来帮助保护自己的资源。您也可以使用 IAM Access Analyzer 验证跨账户访问权限。
您还必须允许身份使用密钥加密的 KMS 密钥。这是因为您不能使用 Amazon 托管式密钥 (aws/secretsmanager) 进行跨账户访问。相反,您必须使用您创建的 KMS 密钥加密密钥,然后随附密钥策略。创建 KMS 密钥需支付费用。要更改密钥的加密密钥,请参阅 修改 Amazon Secrets Manager 密钥。
重要
下列示例策略假定您在 Account1 中有密钥和加密密钥,而在 Account2 的身份希望有访问密钥值的权限。
步骤 1:将资源策略附加到 Account1 中的密钥
-
下列策略允许
Account2中的ApplicationRole访问Account1中的密钥。要查看该策略,请参阅 基于资源的策略。
步骤 2:将语句添加到 Account1 中 KMS 密钥的密钥策略中
-
以下密钥策略声明允许
Account2中的ApplicationRole使用Account1中的 KMS 密钥来解密Account1。要使用此语句,请将其添加到 KMS 密钥的密钥策略中。有关更多信息,请参阅更改密钥策略。{ "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Account2:role/ApplicationRole" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" }
步骤 3:将身份策略附加到 Account2 中的身份
-
以下策略允许
Account2中的ApplicationRole访问Account1中 密钥,并通过使用Account1中的加密密钥来解密密钥。要使用该策略,请参阅 基于身份的策略。您可以在 Secrets Manager 控制台的密钥详细信息页面的密钥 ARN 下方找到您的密钥 ARN。此外,您也可以调用describe-secret。