Izin IAM yang diperlukan untuk Elastic Beanstalk untuk mengakses rahasia dan parameter - AWS Elastic Beanstalk
Izin Secrets ManagerSystems Manager Parameter Izin Store

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin IAM yang diperlukan untuk Elastic Beanstalk untuk mengakses rahasia dan parameter

Anda harus memberikan izin yang diperlukan untuk instans EC2 lingkungan Anda untuk mengambil rahasia dan parameter untuk AWS Secrets Manager dan Parameter Store. AWS Systems Manager Izin diberikan ke instans EC2 melalui peran profil instans EC2.

Bagian berikut mencantumkan izin spesifik yang perlu Anda tambahkan ke profil instans EC2, tergantung pada layanan yang Anda gunakan. Ikuti langkah-langkah yang disediakan di Perbarui kebijakan izin untuk peran dalam Panduan Pengguna IAM untuk menambahkan izin ini.

Izin IAM untuk platform Docker yang dikelola ECS

Platform Docker yang dikelola ECS memerlukan izin IAM tambahan untuk yang disediakan dalam topik ini. Untuk informasi selengkapnya tentang semua izin yang diperlukan untuk lingkungan platform Docker terkelola ECS Anda guna mendukung integrasi variabel lingkungan Elastic Beanstalk dengan rahasia, lihat. Format ARN Peran Eksekusi

Izin IAM yang diperlukan untuk Secrets Manager

Izin berikut memberikan akses untuk mengambil rahasia terenkripsi dari toko: AWS Secrets Manager

  • manajer rahasia: GetSecretValue

  • kms:Decrypt

Izin untuk mendekripsi hanya AWS KMS key diperlukan jika rahasia Anda menggunakan kunci yang dikelola pelanggan alih-alih kunci default. Penambahan kunci khusus ARN Anda menambahkan izin untuk mendekripsi kunci yang dikelola pelanggan.

contoh kebijakan dengan Secrets Manager dan izin kunci KMS
JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:111122223333:secret:my-secret",
                "arn:aws:kms:us-east-1:111122223333:key/my-key"
            ]
        }
    ]
}

Izin IAM yang diperlukan Systems Manager Parameter Store

Izin berikut memberikan akses untuk mengambil parameter terenkripsi dari Parameter Store: AWS Systems Manager

  • ssm: GetParameter

  • kms:Decrypt

Izin untuk mendekripsi hanya AWS KMS key diperlukan untuk tipe SecureString parameter yang menggunakan kunci yang dikelola pelanggan, bukan kunci default. Penambahan kunci khusus ARN Anda menambahkan izin untuk mendekripsi kunci yang dikelola pelanggan. Jenis parameter reguler yang tidak dienkripsi, String danStringList, tidak memerlukan file. AWS KMS key

contoh kebijakan dengan Systems Manager dan izin AWS KMS kunci
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetParameter",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:parameter/my-parameter",
                "arn:aws:kms:us-east-1:111122223333:key/my-key"
            ]
        }
    ]
}