Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Accede a AWS Secrets Manager los secretos desde una cuenta diferente Para permitir que los usuarios de una cuenta de obtengan acceso a otra cuenta (*acceso entre cuentas*), debe permitir el acceso tanto en una política de recursos como en una política de identidad. Esto es diferente de conceder acceso a identidades en la misma cuenta que el secreto. Cross-account el permiso solo es efectivo para las siguientes operaciones: + [CancelRotateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_CancelRotateSecret.html) + [DeleteResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DeleteResourcePolicy.html) + [DeleteSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DeleteSecret.html) + [DescribeSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DescribeSecret.html) + [GetRandomPassword](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetRandomPassword.html) + [GetResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetResourcePolicy.html) + [GetSecretValue](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetSecretValue.html) + [ListSecretVersionIds](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ListSecretVersionIds.html) + [PutResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutResourcePolicy.html) + [PutSecretValue](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutSecretValue.html) + [RemoveRegionsFromReplication](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RemoveRegionsFromReplication.html) + [ReplicateSecretToRegions](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html) + [RestoreSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RestoreSecret.html) + [RotateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RotateSecret.html) + [StopReplicationToReplica](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_StopReplicationToReplica.html) + [TagResource](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_TagResource.html) + [UntagResource](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UntagResource.html) + [UpdateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UpdateSecret.html) + [UpdateSecretVersionStage](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UpdateSecretVersionStage.html) + [ValidateResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ValidateResourcePolicy.html) Puede usar el `BlockPublicPolicy` parámetro junto con la [PutResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutResourcePolicy.html)acción para ayudar a proteger sus recursos impidiendo que se conceda el acceso público a través de las políticas de recursos que están directamente asociadas a sus secretos. También puede utilizar [analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-preview-access) para verificar el acceso entre cuentas. También debe permitir que la identidad utilice la clave de KMS con la que está cifrado el secreto. Esto se debe a que no puedes usar el Clave administrada de AWS (`aws/secretsmanager`) para el acceso entre cuentas. En su lugar, debe cifrar su secreto con una clave de KMS que cree y, a continuación, adjuntarle una política de clave. Existe un cargo por la creación de claves de KMS. Para cambiar la clave de cifrado de un secreto, consulte [Modificar un AWS Secrets Manager secreto](manage_update-secret.md). **importante** Resource-based las políticas que conceden `secretsmanager:PutResourcePolicy` permisos permiten a los directores, incluso a los de otras cuentas, modificar las políticas basadas en los recursos. Este permiso permite a las entidades principales ampliar los permisos existentes. Por ejemplo, a obtener acceso administrativo total a los secretos. Recomendamos aplicar el principio del [acceso de privilegio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) a sus políticas. Para obtener más información, consulte [Resource-based políticas](auth-and-access_resource-policies.md). Las siguientes políticas de ejemplo suponen que tiene un secreto y una clave de cifrado en la *Account1*, y una identidad en la *Account2* a la que desea permitir acceder al valor secreto. **Paso 1: adjunte una política de recursos al secreto de *Account1*** + La siguiente política permite acceder {{Account2}} a {{ApplicationRole}} la entrada secreta. {{Account1}} Para utilizar esta política, visite [Resource-based políticas](auth-and-access_resource-policies.md). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{111122223333}}:role/{{ApplicationRole}}" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] } ``` ------ **Paso 2: agregue una instrucción a la política clave de la clave de KMS de *Account1*** + La siguiente instrucción de política de claves permite que {{ApplicationRole}} en {{Account2}} use la clave de KMS en {{Account1}} para descifrar el secreto en {{Account1}}. Para utilizar esta instrucción, agréguela a la política de claves de la clave de KMS. Para obtener más información, consulte [Cambiar una política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html). ``` { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{Account2}}:role/{{ApplicationRole}}" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" } ``` **Paso 3: adjunte una política de identidad a la identidad de *Account2*** + La siguiente política permite que {{ApplicationRole}} en {{Account2}} acceda al secreto de {{Account1}} y descifre el valor secreto mediante la clave de cifrado que también está en {{Account1}}. Para utilizar esta política, visite [Identity-based políticas](auth-and-access_iam-policies.md). Puede encontrar el ARN para su secreto en la consola de Secrets Manager en la página de detalles secretos en **ARN del secreto**. También puede llamar a [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/describe-secret.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/describe-secret.html). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secretName-AbCdEf}}" }, { "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{EncryptionKey}}" } ] } ``` ------