AWS Secrets Manager 跨账户
[英]AWS Secrets Manager cross account
问题描述
如何通过友好名称而不是 secretARN 从 Secrets manager 跨帐户访问秘密?
设想:
- AccountA 中的 CMK KMS - 为 AccountB 附加的密钥策略
- 存储在 AccountA 中的机密 - 添加到 AccountB 的资源策略
- 附加了 IAM 角色(秘密和 cmk kms)的 AccountB 中的 EC2
观察:通过调用 --secret-id (ARN) of secrets 获取秘密细节工作正常,我得到所需的 output
问题:
aws secretsmanager get-secret-value --secret-id (friendlyName) --region region
通过调用 --secret-id (friendlyName) of secrets 获取机密详细信息失败并出现错误
调用 GetSecretValue 操作时发生错误 (AccessDeniedException):用户:arn:aws:sts::111111111:assumed-role/xxxx-xxxx-Role/i-xxxx 无权执行:secretsmanager:GetSecretValue on resource: (friendlyName )
1 个解决方案
解决方案1
1 2021-05-17 07:43:10
ARN 对 Secret 所属的 Account 进行编码,因此如果要实现跨账户访问,则需要使用 ARN。 否则它将尝试在您的帐户中查找资源。
您还可以在另一个帐户中担任角色并使用这些凭据,您可以使用友好名称,但在这种情况下,您实际上已经在另一个帐户中并且不再进行跨帐户访问。
spring boot +从不同的AWS账户加载秘密管理器秘密
[英]spring boot + load secret manager secrets from different AWS account
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.