Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Accédez aux AWS Secrets Manager secrets depuis un autre compte Pour autoriser les utilisateurs d'un compte à accéder aux secrets d'un autre compte (*accès entre comptes*), vous devez autoriser l'accès dans une stratégie de ressource et dans une stratégie d'identité. Cela diffère de l'octroi d'accès aux identités dans le même compte que le secret. Cross-account l'autorisation n'est effective que pour les opérations suivantes : + [CancelRotateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_CancelRotateSecret.html) + [DeleteResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DeleteResourcePolicy.html) + [DeleteSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DeleteSecret.html) + [DescribeSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DescribeSecret.html) + [GetRandomPassword](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetRandomPassword.html) + [GetResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetResourcePolicy.html) + [GetSecretValue](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetSecretValue.html) + [ListSecretVersionIds](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ListSecretVersionIds.html) + [PutResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutResourcePolicy.html) + [PutSecretValue](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutSecretValue.html) + [RemoveRegionsFromReplication](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RemoveRegionsFromReplication.html) + [ReplicateSecretToRegions](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html) + [RestoreSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RestoreSecret.html) + [RotateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RotateSecret.html) + [StopReplicationToReplica](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_StopReplicationToReplica.html) + [TagResource](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_TagResource.html) + [UntagResource](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UntagResource.html) + [UpdateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UpdateSecret.html) + [UpdateSecretVersionStage](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UpdateSecretVersionStage.html) + [ValidateResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ValidateResourcePolicy.html) Vous pouvez utiliser le `BlockPublicPolicy` paramètre avec l'[PutResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutResourcePolicy.html)action pour protéger vos ressources en empêchant l'accès public par le biais des politiques de ressources directement associées à vos secrets. Vous pouvez également utiliser [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-preview-access) pour vérifier l'accès entre comptes. Vous devez aussi autoriser l'identité à utiliser la clé KMS avec laquelle le secret est chiffré. Cela est dû au fait que vous ne pouvez pas utiliser le Clé gérée par AWS (`aws/secretsmanager`) pour un accès entre comptes. Au lieu de cela, vous devez chiffrer votre secret avec une clé KMS que vous créez, puis y attacher une stratégie de clé. La création de clés KMS engendre des frais. Pour modifier la clé de chiffrement d'un secret, consultez [Modifier un AWS Secrets Manager secret](manage_update-secret.md). **Important** Resource-based les politiques accordant des `secretsmanager:PutResourcePolicy` autorisations donnent aux principaux, même à ceux d'autres comptes, la possibilité de modifier vos politiques basées sur les ressources. Cette autorisation permet aux principaux d'augmenter les autorisations existantes, par exemple en obtenant un accès administratif complet aux secrets. Nous vous recommandons d'appliquer le principe de l'[accès le moins privilégié](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) à vos politiques. Pour de plus amples informations, veuillez consulter [Resource-based politiques](auth-and-access_resource-policies.md). Les exemples de stratégies suivants partent du principe que vous disposez d'un secret et d'une clé de chiffrement dans le *Compte1*, et d'une identité dans le *Compte2* qui doit être autorisée à accéder à la valeur de secret. **Étape 1 : attacher une stratégie de ressources au secret dans *Account1*** + La politique suivante permet {{ApplicationRole}} {{Account2}} d'accéder au secret dans{{Account1}}. Pour utiliser cette stratégie, consultez [Resource-based politiques](auth-and-access_resource-policies.md). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{111122223333}}:role/{{ApplicationRole}}" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] } ``` ------ **Étape 2 : ajouter une déclaration à la stratégie de clé pour la clé KMS dans *Account1*** + La déclaration de politique clé suivante permet {{Account2}} à {{ApplicationRole}} in d'utiliser la clé KMS {{Account1}} pour déchiffrer le secret dans{{Account1}}. Pour utiliser cette déclaration, ajoutez-la à la stratégie de clé de votre clé KMS. Consultez [Modification d'une stratégie de clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) pour de plus amples informations. ``` { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{Account2}}:role/{{ApplicationRole}}" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" } ``` **Étape 3 : attacher une stratégie d'identité à l'identité dans *Account2*** + La politique suivante permet {{ApplicationRole}} {{Account2}} à l'entrée d'accéder au secret {{Account1}} et de déchiffrer la valeur du secret en utilisant la clé de chiffrement qui se trouve également dans{{Account1}}. Pour utiliser cette stratégie, consultez [Identity-based politiques](auth-and-access_iam-policies.md). Vous pouvez trouver l'ARN de votre secret dans la console Secrets Manager sur la page de détails du secret sous **ARN du secret**. Vous pouvez aussi appeler [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/describe-secret.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/describe-secret.html). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secretName-AbCdEf}}" }, { "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{EncryptionKey}}" } ] } ``` ------