As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Acesse AWS Secrets Manager segredos de uma conta diferente Para permitir que os usuários de uma conta acessem segredos em outra conta (*acesso entre contas*), é necessário permitir o acesso em uma política de recursos e em uma política de identidade. Isso é diferente de conceder acesso a identidades na mesma conta do segredo. Cross-account a permissão é efetiva somente para as seguintes operações: + [CancelRotateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_CancelRotateSecret.html) + [DeleteResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DeleteResourcePolicy.html) + [DeleteSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DeleteSecret.html) + [DescribeSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DescribeSecret.html) + [GetRandomPassword](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetRandomPassword.html) + [GetResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetResourcePolicy.html) + [GetSecretValue](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetSecretValue.html) + [ListSecretVersionIds](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ListSecretVersionIds.html) + [PutResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutResourcePolicy.html) + [PutSecretValue](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutSecretValue.html) + [RemoveRegionsFromReplication](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RemoveRegionsFromReplication.html) + [ReplicateSecretToRegions](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html) + [RestoreSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RestoreSecret.html) + [RotateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RotateSecret.html) + [StopReplicationToReplica](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_StopReplicationToReplica.html) + [TagResource](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_TagResource.html) + [UntagResource](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UntagResource.html) + [UpdateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UpdateSecret.html) + [UpdateSecretVersionStage](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UpdateSecretVersionStage.html) + [ValidateResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ValidateResourcePolicy.html) Você pode usar o `BlockPublicPolicy` parâmetro com a [PutResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutResourcePolicy.html)ação para ajudar a proteger seus recursos, impedindo que o acesso público seja concedido por meio das políticas de recursos diretamente vinculadas aos seus segredos. Você também pode usar o [analisador de acesso do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-preview-access) para verificar o acesso entre contas. Você também deve permitir que a identidade use a chave do KMS com a qual o segredo está criptografado. Isso ocorre porque você não pode usar o Chave gerenciada pela AWS (`aws/secretsmanager`) para acesso entre contas. Em vez disso, você precisa criptografar o segredo com uma chave do KMS que criar e, em seguida, anexar uma política de chave a ele. Existe uma cobrança pela criação de chaves do KMS. Para alterar a chave de criptografia de um segredo, consulte [Modificar um AWS Secrets Manager segredo](manage_update-secret.md). **Importante** Resource-based as políticas que concedem `secretsmanager:PutResourcePolicy` permissão dão aos diretores, mesmo aqueles em outras contas, a capacidade de modificar suas políticas baseadas em recursos. Essa permissão permite que as entidades principais escalem as permissões existentes, como obter acesso administrativo total aos segredos. Recomendamos que você aplique o princípio do [acesso de privilégio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) às suas políticas. Para obter mais informações, consulte [Resource-based políticas](auth-and-access_resource-policies.md). Os exemplos de políticas a seguir supõem que você tenha um segredo e uma chave de criptografia na *Conta1* e uma identidade na *Conta2*, à qual você quer permitir acesso ao valor do segredo. **Etapa 1: anexar uma política de recursos ao segredo na *Conta1*** + A política a seguir permite que {{Account2}} o {{ApplicationRole}} login acesse a entrada secreta{{Account1}}. Para usar essa política, consulte [Resource-based políticas](auth-and-access_resource-policies.md). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{111122223333}}:role/{{ApplicationRole}}" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] } ``` ------ **Etapa 2: adicionar uma instrução à política de chaves para a chave KMS na *Conta1*** + A instrução de política de chave a seguir permite que o {{ApplicationRole}} na {{Account2}} use a chave do KMS na {{Account1}} para descriptografar o segredo na {{Account1}}. Para usar essa declaração, adicione-a à política de chaves para sua chave do KMS. Para obter mais informações, consulte [Alterar uma política de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html). ``` { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{Account2}}:role/{{ApplicationRole}}" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" } ``` **Etapa 3: anexar uma política de identidade à identidade na *Conta2*** + A política a seguir permite que o {{ApplicationRole}} na {{Account2}} acesse o segredo na {{Account1}} e descriptografe o valor do segredo usando a chave de criptografia, que também está na {{Account1}}. Para usar essa política, consulte [Identity-based políticas](auth-and-access_iam-policies.md). É possível encontrar o ARN do seu segredo no console do Secrets Manager na página de detalhes do segredo em **ARN do segredo**. Como alternativa, é possível chamar [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/describe-secret.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/describe-secret.html). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secretName-AbCdEf}}" }, { "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{EncryptionKey}}" } ] } ``` ------