那些遇到过的问题

AWS秘密管理器访问拒绝问题

Jai*_*hra 13 amazon-web-services aws-secrets-manager

我有一个密钥 (USRFTP) 存储在帐户 A 中,我想从帐户 B 中具有 ASHISHROLE 角色的 EC2 盒子访问此密钥。我正在运行 python 代码来获取密钥,如下所示,在给定的密钥中使用资源策略下面,KMS策略如下,但仍然遇到这个问题

botocore.exceptions.ClientError:调用 GetSecretValue 操作时发生错误 (AccessDeniedException):用户:arn:aws:sts::ACCOUNTB:assumed-role/ASHISHROLE /i-************ 无权对资源执行:secretsmanager:GetSecretValue: arn:aws:secretsmanager:us-east-2:ACCOUNTA:secret:USRFTP-KJHJH

    import boto3
    import base64
    from botocore.exceptions import ClientError
    def get_secret():
        secret_name = "arn:aws:secretsmanager:us-east-2:ACCOUNTA:secret:USRFTP"
        region_name = "us-east-2"
        # Create a Secrets Manager client
        session = boto3.session.Session()
        client = session.client(
            service_name='secretsmanager',
            region_name=region_name
        )
        print("here")

        get_secret_value_response = client.get_secret_value(
            SecretId=secret_name
        )
        if 'SecretString' in get_secret_value_response:
            return  get_secret_value_response['SecretString']
        else:
            return  base64.b64decode(get_secret_value_response['SecretBinary'])
    
    print(get_secret())

SECRET KEY RESOURCE POLICY
  

 {
  "Version" : "2012-10-17",
  "Statement" : [ {
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::ACCOUNTB:role/ASHISHROLE"
    },
    "Action" : "secretsmanager:GetSecretValue",
    "Resource" : "*"
  } ]
}

KMS POLICY

    {
        "Id": "key-consolepolicy-3",
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "Enable IAM User Permissions",
                "Effect": "Allow",
                "Principal": {
                    "AWS": "arn:aws:iam::ACCOUNTA:root"
                },
                "Action": "kms:*",
                "Resource": "*"
            },
            {
                "Sid": "Allow access for Key Administrators",
                "Effect": "Allow",
                "Principal": {
                    "AWS": "arn:aws:iam::ACCOUNTA:role/OKin"
                },
                "Action": [
                    "kms:Create*",
                    "kms:Describe*",
                    "kms:Enable*",
                    "kms:List*",
                    "kms:Put*",
                    "kms:Update*",
                    "kms:Revoke*",
                    "kms:Disable*",
                    "kms:Get*",
                    "kms:Delete*",
                    "kms:TagResource",
                    "kms:UntagResource",
                    "kms:ScheduleKeyDeletion",
                    "kms:CancelKeyDeletion"
                ],
                "Resource": "*"
            },
            {
                "Sid": "Allow use of the key",
                "Effect": "Allow",
                "Principal": {
                    "AWS": "arn:aws:iam::ACCOUNTB:root"
                },
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:ReEncrypt*",
                    "kms:GenerateDataKey*",
                    "kms:DescribeKey"
                ],
                "Resource": "*"
            },
            {
                "Sid": "Allow attachment of persistent resources",
                "Effect": "Allow",
                "Principal": {
                    "AWS": "arn:aws:iam::ACCOUNTB:root"
                },
                "Action": [
                    "kms:CreateGrant",
                    "kms:ListGrants",
                    "kms:RevokeGrant"
                ],
                "Resource": "*",
                "Condition": {
                    "Bool": {
                        "kms:GrantIsForAWSResource": "true"
                    }
                }
            }
        ]
    }
Run Code Online (Sandbox Code Playgroud)

Joh*_*ein 16

跨账户权限最困难的概念是它需要从两个方向授予权限

根据您的情况,您有:

  • 帐户 A 中的机密管理器
  • 账户 B 中的 EC2 实例
  • Role-B账户 B 中的IAM 角色 ( )

这需要 A 到 B 的权限:

  • 账户 A 中的秘密需要一个允许角色 B 访问的“秘密密钥资源策略”(您已经这样做了)

并且还需要B到A的权限:

  • Role-B必须获得访问帐户 A 中秘密的权限

这可能看起来很奇怪,但我喜欢这样想:

  • 默认情况下,IAM 用户/IAM 角色没有权限
  • 要使用 Secrets Manager(即使在同一账户中),必须向 IAM 角色授予权限,例如secretsmanager:GetSecretValue-- 否则不允许执行任何操作
  • 默认情况下,一个 AWS 账户无法从另一个 AWS 账户访问(例如我无法访问您的账户)
  • 如果某个 AWS 账户愿意让另一个账户访问它,则它必须授予访问权限。这可以在 S3、SNS、SQS、KMS 和 Secrets Manager 等服务的资源级别上完成,因为它们能够创建资源策略。不具备此功能的服务无法授予跨账户访问权限,必须通过在同一账户中担任角色来使用。

您问题中的配置似乎缺少访问 Secrets Manager 所需的权限Role-B,例如:

{
      "Version" : "2012-10-17",
      "Statement" : [
        {
          "Effect": "Allow",
          "Action": "secretsmanager:GetSecretValue",
          "Resource": "arn:aws:secretsmanager:us-east-2:ACCOUNTA:secret:USRFTP"
        }
      ]
}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

44134 次

最近记录:

3 年,10 月 前
相关归档
如何使用Amazon Simple Notification Service(SNS)发送批量的推送通知 20
我可以将Amazon AWS Lambda用作可信计算的安全区域吗? 17
无法将 RDS 快照导出到 S3:不允许主体 export.rds.amazonaws.com 承担 IAM 角色 9
亚马逊Pinpoint与亚马逊SES/SMS 8
恢复出厂设置的 AWS 帐户 7
将 Elastic Beanstalk 环境从启动配置更改为启动模板 7
如何重新同步 AWS RDS 只读副本 6
EC2 实例 - 将 STDOUT 日志发送到 Cloud Watch 6
在 AWS CodePipeline 中运行 `npm ci` 失败:“无法读取未定义的属性‘aws-cdk-lib’” 6
调用解密操作时出现客户端错误(InvalidCiphertextException): 5
难疑归档
JavaScript中使用"严格"做什么,背后的原因是什么? 7339
使用__init __()方法理解Python super() 2366
INNER JOIN,LEFT JOIN,RIGHT JOIN和FULL JOIN之间有什么区别? 1602
JavaScript发布请求,如表单提交 1465
我在哪里可以找到有关在JavaScript中格式化日期的文档? 1381
如何使用Sublime Text 2重新格式化HTML代码? 1282
Android Studio中的Gradle是什么? 1257
如何使用jQuery按名称选择元素? 1160
什么是"Linting"? 1044
有哪些常用的命名git分支实例的例子? 1034