Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Greifen Sie von einem AWS Secrets Manager anderen Konto aus auf Geheimnisse zu So können Sie Benutzern in einem Konto den Zugriff auf Secrets in einem anderen Konto gewähren (*Kontoübergreifender Zugriff*). Sie müssen den Zugriff sowohl in einer Ressourcenrichtlinie als auch in einer Identitätsrichtlinie zulassen. Dies unterscheidet sich von dem Gewähren des Zugriffs auf Identitäten in demselben Konto wie das Secret. Die kontenübergreifende Berechtigung gilt nur für die folgenden Operationen: + [CancelRotateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_CancelRotateSecret.html) + [DeleteResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DeleteResourcePolicy.html) + [DeleteSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DeleteSecret.html) + [DescribeSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DescribeSecret.html) + [GetRandomPassword](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetRandomPassword.html) + [GetResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetResourcePolicy.html) + [GetSecretValue](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetSecretValue.html) + [ListSecretVersionIds](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ListSecretVersionIds.html) + [PutResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutResourcePolicy.html) + [PutSecretValue](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutSecretValue.html) + [RemoveRegionsFromReplication](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RemoveRegionsFromReplication.html) + [ReplicateSecretToRegions](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html) + [RestoreSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RestoreSecret.html) + [RotateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RotateSecret.html) + [StopReplicationToReplica](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_StopReplicationToReplica.html) + [TagResource](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_TagResource.html) + [UntagResource](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UntagResource.html) + [UpdateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UpdateSecret.html) + [UpdateSecretVersionStage](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UpdateSecretVersionStage.html) + [ValidateResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ValidateResourcePolicy.html) Sie können den `BlockPublicPolicy` Parameter zusammen mit der [PutResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutResourcePolicy.html)Aktion verwenden, um Ihre Ressourcen zu schützen, indem Sie verhindern, dass der öffentliche Zugriff über die Ressourcenrichtlinien gewährt wird, die direkt mit Ihren Geheimnissen verknüpft sind. Sie können [IAM Access Analyzer auch verwenden, um den kontoübergreifenden Zugriff](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-preview-access) zu überprüfen. Sie müssen auch zulassen, dass die Identität den KMS-Schlüssel verwendet, mit dem das Secret verschlüsselt ist. Das liegt daran, dass Sie das Von AWS verwalteter Schlüssel (`aws/secretsmanager`) nicht für den kontoübergreifenden Zugriff verwenden können. Stattdessen müssen Sie Ihr Secret mit einem von Ihnen erstellten KMS-Schlüssel verschlüsseln und ihm dann eine Schlüsselrichtlinie anhängen. Für die Erstellung von KMS-Schlüsseln fällt eine Gebühr an. Informationen zum Ändern des Verschlüsselungsschlüssels für ein Secret finden Sie unter [Ein AWS Secrets Manager Geheimnis ändern](manage_update-secret.md). **Wichtig** Durch die Gewährung von `secretsmanager:PutResourcePolicy` Berechtigungen durch ressourcenbasierte Richtlinien können Prinzipale, auch Benutzer in anderen Konten, Ihre ressourcenbasierten Richtlinien ändern. Diese Berechtigung ermöglicht es Prinzipalen, bestehende Berechtigungen zu erweitern und beispielsweise vollen Administratorzugriff auf geheime Daten zu erhalten. Wir empfehlen Ihnen, das Prinzip des [geringsten Zugriffs auf](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) Ihre Richtlinien anzuwenden. Weitere Informationen finden Sie unter [Ressourcenbasierte Richtlinien](auth-and-access_resource-policies.md). In den folgenden Beispielrichtlinien wird davon ausgegangen, dass Sie ein Secret und einen Verschlüsselungsschlüssel in *Konto1*und eine Identität in *Konto2* besitzen, womit Sie auf den Secret-Wert zugreifen möchten. **Schritt 1: Fügen Sie dem Secret in *Account1* eine Ressourcen-Richtlinie hinzu** + Die folgende Richtlinie ermöglicht *ApplicationRole* den *Account2* Zugriff auf das Geheimnis in*Account1*. Informationen zur Verwendung dieser Richtlinie finden Sie unter [Ressourcenbasierte Richtlinien](auth-and-access_resource-policies.md). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ApplicationRole" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] } ``` ------ **Schritt 2: Fügen Sie der Schlüsselrichtlinie für den KMS-Schlüssel in *Account1* eine Anweisung hinzu** + Die folgende wichtige Richtlinienanweisung ermöglicht *ApplicationRole* die Verwendung des KMS-Schlüssels in*Account1*, um den geheimen Eingang zu entschlüsseln. *Account2* *Account1* Um diese Anweisung zu verwenden, fügen Sie sie der Schlüsselrichtlinie für Ihren KMS-Schlüssel hinzu. Weitere Informationen finden Sie unter [Changing a key policy (Ändern einer Schlüsselrichtlinie)](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html). ``` { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Account2:role/ApplicationRole" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" } ``` **Schritt 3: Hängen Sie eine Identitätsrichtlinie an die Identität in *Account2* an** + Die folgende Richtlinie ermöglicht *ApplicationRole* den *Account2* Zugriff auf den geheimen Wert *Account1* und die Entschlüsselung des Geheimwerts mithilfe des ebenfalls enthaltenen Verschlüsselungsschlüssels. *Account1* Informationen zur Verwendung dieser Richtlinie finden Sie unter [Identitätsbasierte Richtlinien](auth-and-access_iam-policies.md). Sie finden den ARN für Ihr Secret in der Secrets-Manager-Konsole auf der Seite mit den Secret-Details unter **Secret ARN**. Alternativ können Sie [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/describe-secret.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/describe-secret.html) aufrufen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:us-east-1:123456789012:secret:secretName-AbCdEf" }, { "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-east-1:123456789012:key/EncryptionKey" } ] } ``` ------