Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Greifen Sie von einem anderen Konto aus auf AWS Secrets Manager Geheimnisse zu
So können Sie Benutzern in einem Konto den Zugriff auf Secrets in einem anderen Konto gewähren (Kontoübergreifender Zugriff). Sie müssen den Zugriff sowohl in einer Ressourcenrichtlinie als auch in einer Identitätsrichtlinie zulassen. Dies unterscheidet sich von dem Gewähren des Zugriffs auf Identitäten in demselben Konto wie das Secret.
Die kontenübergreifende Berechtigung gilt nur für die folgenden Operationen:
Sie können den BlockPublicPolicy Parameter zusammen mit der PutResourcePolicyAktion verwenden, um Ihre Ressourcen zu schützen, indem Sie verhindern, dass der öffentliche Zugriff über die Ressourcenrichtlinien gewährt wird, die direkt mit Ihren Geheimnissen verknüpft sind. Sie können IAM Access Analyzer auch verwenden, um den kontoübergreifenden Zugriff zu überprüfen.
Sie müssen auch zulassen, dass die Identität den KMS-Schlüssel verwendet, mit dem das Secret verschlüsselt ist. Das liegt daran, dass Sie das Von AWS verwalteter Schlüssel (aws/secretsmanager) nicht für den kontoübergreifenden Zugriff verwenden können. Stattdessen müssen Sie Ihr Secret mit einem von Ihnen erstellten KMS-Schlüssel verschlüsseln und ihm dann eine Schlüsselrichtlinie anhängen. Für die Erstellung von KMS-Schlüsseln fällt eine Gebühr an. Informationen zum Ändern des Verschlüsselungsschlüssels für ein Secret finden Sie unter Ein AWS Secrets Manager Geheimnis ändern.
Wichtig
Durch die Gewährung von secretsmanager:PutResourcePolicy Berechtigungen durch ressourcenbasierte Richtlinien können Prinzipale, auch Benutzer in anderen Konten, Ihre ressourcenbasierten Richtlinien ändern. Diese Berechtigung ermöglicht es Prinzipalen, bestehende Berechtigungen zu erweitern und beispielsweise vollen Administratorzugriff auf geheime Daten zu erhalten. Wir empfehlen Ihnen, das Prinzip des geringsten Zugriffs auf Ihre Richtlinien anzuwenden. Weitere Informationen finden Sie unter Ressourcenbasierte Richtlinien.
In den folgenden Beispielrichtlinien wird davon ausgegangen, dass Sie ein Secret und einen Verschlüsselungsschlüssel in Konto1und eine Identität in Konto2 besitzen, womit Sie auf den Secret-Wert zugreifen möchten.
Schritt 1: Fügen Sie dem Secret in Account1 eine Ressourcen-Richtlinie hinzu
-
Die folgende Richtlinie ermöglicht
ApplicationRoledenAccount2Zugriff auf das Geheimnis inAccount1. Informationen zur Verwendung dieser Richtlinie finden Sie unter Ressourcenbasierte Richtlinien.
Schritt 2: Fügen Sie der Schlüsselrichtlinie für den KMS-Schlüssel in Account1 eine Anweisung hinzu
-
Die folgende wichtige Richtlinienanweisung ermöglicht
ApplicationRoledie Verwendung des KMS-Schlüssels inAccount1, um den geheimen Eingang zu entschlüsseln.Account2Account1Um diese Anweisung zu verwenden, fügen Sie sie der Schlüsselrichtlinie für Ihren KMS-Schlüssel hinzu. Weitere Informationen finden Sie unter Changing a key policy (Ändern einer Schlüsselrichtlinie).{ "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Account2:role/ApplicationRole" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" }
Schritt 3: Hängen Sie eine Identitätsrichtlinie an die Identität in Account2 an
-
Die folgende Richtlinie ermöglicht
ApplicationRoledenAccount2Zugriff auf den geheimen WertAccount1und die Entschlüsselung des Geheimwerts mithilfe des ebenfalls enthaltenen Verschlüsselungsschlüssels.Account1Informationen zur Verwendung dieser Richtlinie finden Sie unter Identitätsbasierte Richtlinien. Sie finden den ARN für Ihr Secret in der Secrets-Manager-Konsole auf der Seite mit den Secret-Details unter Secret ARN. Alternativ können Siedescribe-secretaufrufen.
