Permisos de IAM necesarios para que Elastic Beanstalk acceda a secretos y parámetros - AWS Elastic Beanstalk
Permisos de Secrets ManagerPermisos para el Almacén de parámetros de Systems Manager

Permisos de IAM necesarios para que Elastic Beanstalk acceda a secretos y parámetros

Debe conceder los permisos necesarios a las instancias de EC2 de su entorno para obtener los secretos y los parámetros de AWS Secrets Manager y del Almacén de parámetros de AWS Systems Manager. Los permisos se proporcionan a las instancias de EC2 mediante un rol de perfil de instancia de EC2.

En las siguientes secciones se enumeran los permisos específicos que debe añadir a un perfil de instancia de EC2, según el servicio que utilice. Siga los pasos que se indican en Actualizar la política de permisos de un rol en la Guía del usuario de IAM para añadir estos permisos.

Permisos de IAM para la plataforma Docker administrada por ECS

La plataforma Docker administrada por ECS requiere permisos de IAM adicionales a los que se proporcionan en este tema. Para obtener más información sobre todos los permisos necesarios para que su entorno de plataforma Docker administrada por ECS admita la integración de las variables de entorno de Elastic Beanstalk con los secretos, consulte Formato de ARN del rol de ejecución.

Permisos IAM necesarios para Secrets Manager

Los siguientes permisos permiten acceder a los secretos cifrados del almacén de AWS Secrets Manager:

  • secretsmanager:GetSecretValue

  • kms:Decrypt

El permiso para descifrar una AWS KMS key se requiere solamente si el secreto utiliza una clave administrada por el cliente en lugar de la clave predeterminada. Si añade su ARN de clave personalizada, se agrega el permiso para descifrar la clave administrada por el cliente.

ejemplo política con permisos de Secrets Manager y clave KMS
JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:111122223333:secret:my-secret",
                "arn:aws:kms:us-east-1:111122223333:key/my-key"
            ]
        }
    ]
}

Permisos de IAM necesarios para el Almacén de parámetros de Systems Manager

Los siguientes permisos permiten acceder a los parámetros cifrados del Almacén de parámetros de AWS Systems Manager:

  • ssm:GetParameter

  • kms:Decrypt

El permiso para descifrar una AWS KMS key se requiere solamente para tipos de parámetro de SecureString que utilizan una clave administrada por el cliente en lugar de una clave predeterminada. Si añade su ARN de clave personalizada, se agrega el permiso para descifrar la clave administrada por el cliente. Los tipos de parámetros normales que no están cifrados, String y StringList, no necesitan una AWS KMS key.

ejemplo política con permisos de Secrets Manager y clave AWS KMS
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetParameter",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:parameter/my-parameter",
                "arn:aws:kms:us-east-1:111122223333:key/my-key"
            ]
        }
    ]
}