Permisos de IAM necesarios para que Elastic Beanstalk acceda a secretos y parámetros - AWS Elastic Beanstalk
Permisos de Secrets ManagerPermisos para el Almacén de parámetros de Systems Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permisos de IAM necesarios para que Elastic Beanstalk acceda a secretos y parámetros

Debe conceder los permisos necesarios a las instancias EC2 de su entorno para obtener los secretos y los parámetros del almacén de AWS Systems Manager parámetros. AWS Secrets Manager Los permisos se proporcionan a las instancias de EC2 mediante un rol de perfil de instancia de EC2.

En las siguientes secciones se enumeran los permisos específicos que debe añadir a un perfil de instancia de EC2, según el servicio que utilice. Siga los pasos que se indican en Actualizar la política de permisos de un rol en la Guía del usuario de IAM para añadir estos permisos.

Permisos de IAM para la plataforma Docker administrada por ECS

La plataforma Docker administrada por ECS requiere permisos de IAM adicionales a los que se proporcionan en este tema. Para obtener más información sobre todos los permisos necesarios para que su entorno de plataforma Docker administrada por ECS admita la integración de las variables de entorno de Elastic Beanstalk con los secretos, consulte Formato de ARN del rol de ejecución.

Permisos IAM necesarios para Secrets Manager

Los siguientes permisos permiten acceder a los secretos cifrados del almacén: AWS Secrets Manager

  • administrador de secretos: GetSecretValue

  • kms:Decrypt

El permiso para descifrar un secreto solo AWS KMS key es necesario si el secreto utiliza una clave gestionada por el cliente en lugar de la clave predeterminada. Si añade su ARN de clave personalizada, se agrega el permiso para descifrar la clave administrada por el cliente.

ejemplo política con permisos de Secrets Manager y clave KMS
JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:111122223333:secret:my-secret",
                "arn:aws:kms:us-east-1:111122223333:key/my-key"
            ]
        }
    ]
}

Permisos de IAM necesarios para el Almacén de parámetros de Systems Manager

Los siguientes permisos permiten acceder a los parámetros cifrados del almacén de AWS Systems Manager parámetros:

  • ssm: GetParameter

  • kms:Decrypt

El permiso para descifrar una solo AWS KMS key es necesario para los tipos de SecureString parámetros que utilizan una clave gestionada por el cliente en lugar de una clave predeterminada. Si añade su ARN de clave personalizada, se agrega el permiso para descifrar la clave administrada por el cliente. Los tipos de parámetros normales que no están StringList cifrados String y no necesitan una AWS KMS key.

ejemplo política con Systems Manager y permisos AWS KMS clave
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetParameter",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:parameter/my-parameter",
                "arn:aws:kms:us-east-1:111122223333:key/my-key"
            ]
        }
    ]
}