AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Wie teile ich Secrets Manager-Geheimnisse zwischen Konten?

Lesedauer: 3 Minute

Ich möchte mein AWS Secrets Manager-Geheimnis mit einem anderen AWS-Konto teilen.

Behebung

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.

Du musst einen benutzerdefinierten AWS Key Management Service (AWS KMS)-Schlüssel erstellen und angeben, um Geheimnisse zwischen Konten auszutauschen. Du kannst den Standard-KMS-Schlüssel nicht verwenden, wenn du Geheimnisse zwischen Konten austauschst. Der Standard-KMS-Schlüssel wird in deinem Namen von einem AWS-Service erstellt, verwaltet und verwendet, der auf AWS KMS ausgeführt wird. Er ist ausschließlich für dein Konto und deine AWS-Region gedacht und du kannst ihn nur mit dem Service verwenden, der ihn erstellt hat. Weitere Informationen findest du unter AWS-KMS-Schlüssel.

Das Konto konfigurieren, dem das Geheimnis gehört

Wenn du kein Geheimnis hast, erstelle ein Secrets Manager-Geheimnis. Stelle sicher, dass du unbedingt den Amazon-Ressourcennamen (ARN) im Schlüssel-ID-Parameter von KMS für das Geheimnis angibst.

Wenn du ein vorhandenes Geheimnis hast, das einen Alias verwendet, ändere das Geheimnis. Stelle sicher, dass du unbedingt den KMS-Schlüssel-ARN im KMS-Schlüssel-ID-Parameter für das Geheimnis angibst. Du musst den vollständigen KMS-Schlüssel-ARN verwenden, um von einem anderen Konto aus auf ein Geheimnis zuzugreifen.

Wichtig: Ersetze in den folgenden Richtlinien den Prinzipal-ARN durch den ARN des Zielkontos, den SecretARN durch den ARN des Quellkontos und den KMS-Schlüssel-ARN durch den ARN des Quellkontos. Ersetze auch YOUR-REGION durch deine Region.

Füge der Schlüsselrichtlinie die folgende Anweisung hinzu und ersetze dann die Beispielwerte durch deine Werte:

{  "Sid": "AllowUseOfTheKey",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::444455556666:user/username"
  },
  "Action": [
    "kms:Decrypt"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "secretsmanager.YOUR-REGION.amazonaws.com"
    },
    "StringLike": {
      "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:YOUR-REGION:111122223333:secret:secretname??????"
    }
  }
}

Füge dann eine ressourcenbasierte Richtlinie hinzu, um der AWS Identity and Access Management (IAM)-Rolle den Zugriff auf das Geheimnis zu gewähren.

Beispiel für eine geheime, ressourcenbasierte Richtlinie:

{  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::444455556666:user/username"
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*"
    }
  ]
  }

Die Berechtigungen in dem anderen Konto konfigurieren, das das Geheimnis benötigt

Der IAM-Benutzer muss über die Berechtigung secretsmanager:GetSecretValue verfügen, um das Geheimnis abzurufen. Außerdem muss der IAM-Benutzer über Entschlüsselungsberechtigungen verfügen, wenn das Geheimnis mit einem KMS-Schlüssel verschlüsselt wird.

Hänge die secretsmanager:GetSecretValue-Berechtigungen an die IAM-Identität an, von der du das Geheimnis abrufen möchtest.

Beispiel für eine Richtlinie:

{  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowGetSecretValue",
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": [
        "arn:aws:secretsmanager:your-region:777788889999:secret:secretname-??????"
      ]
    },
    {
      "Sid": "AllowKMSDecrypt",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": [
        "arn:aws:kms:YOUR-REGION:777788889999:key/secretnameKMS_id"
      ]
    }
  ]
}

Führe dann den folgenden Befehl „get-secret-value“ aus, um das Geheimnis als geheimen Quellwert abzurufen:

aws secretsmanager get-secret-value --secret-id arn:aws:secretsmanager:YOUR-REGION:777788889999:secret:secretname --version-stage AWSCURRENT --region YOUR-REGION

Ähnliche Informationen

Von einem anderen Konto aus auf AWS Secrets Manager-Secrets zugreifen

So greifst du über AWS-Konten hinweg auf Geheimnisse zu, indem du ressourcenbasierte Richtlinien anhängst

Wie behebe ich Fehler beim Zugriff auf AWS-KMS-Schlüssel, nachdem ich versucht habe, ein verschlüsseltes Geheimnis im Secrets Manager abzurufen?

Themen: Security, Identity, & Compliance
Tags: AWS Secrets Manager
Sprache: Deutsch

Relevanter Inhalt

Wie behebe ich Fehler beim Zugriff auf AWS-KMS-Schlüssel, nachdem ich versucht habe, ein verschlüsseltes Secrets Manager-Secret abzurufen?
AWS OFFICIALAktualisiert vor 2 Jahren
Warum ist meine Secrets Manager Lambda-Rotation fehlgeschlagen?
AWS OFFICIALAktualisiert vor einem Jahr
Wie wende ich eine ressourcenbasierte Richtlinie auf ein Geheimnis in AWS Secrets Manager an?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie kann ich CloudHSM-Cluster mit anderen AWS-Konten teilen?
AWS OFFICIALAktualisiert vor 4 Jahren