授予跨账户 secretsmanager 对尚不存在的 IAM 角色的访问权限
Grant cross account secretsmanager access to an IAM role that does not yet exist
我有两个 AWS 账户:一个保存我的秘密的账户,一个用于部署我的 cloudformation 堆栈的账户。我正在使用 cloudformation 将我的基础架构部署为代码,并且有一个非常简单的 CD 管道:
- 部署到我的开发堆栈
- 等待批准
- 销毁开发堆栈
- 部署到我的生产堆栈
作为我的堆栈的一部分创建的 EC2 实例依赖于启动期间的机密。我想将秘密 ARN 添加到我的 EC2 用户数据脚本,然后在执行用户数据脚本时使用 AWS 命令行检索秘密值。
我的 EC2 实例使用的 IAM 服务角色也是作为我的 cloudformation 脚本的一部分创建的。因此,IAM 角色 ARN 在堆栈启动之前是未知的。我发现自己有点陷入困境:在授予对我的秘密的访问权限之前我无法启动我的堆栈,但我无法授予对我的秘密的访问权限,因为资源策略中的委托人不接受通配符。
有谁知道我如何能够为我的机密创建一个不需要事先知道 IAM 角色 ARN 的 secretsmanager 资源策略?或者还有其他想法吗?
在资源策略中指定主体的更好替代方法可能是使用基于属性的访问控制(ABAC,a.k.a 标记)。关于为 IAM 策略进行设置的内容相当详细tutorial,可以针对资源策略对其进行修改。
在这种方法中,您将创建资源策略以授予对其他帐户的访问权限,但仅限于具有给定标签的主体。然后,当您在其他帐户中创建角色时,您可以为他们添加标签以获取他们需要访问的秘密。例如,只有当标签“access-project”的秘密和访问角色的值相同时,下面的资源策略才会将 GetSecretValue 授予帐户 123456789012:
{
"Version" : "2012-10-17",
"Statement" : [ {
"Effect" : "Allow",
"Principal": {"AWS": "123456789012" },
"Condition": {
"StringEquals": {
"aws:ResourceTag/access-project": "${aws:PrincipalTag/access-project}"
}
},
"Action" : "secretsmanager:GetSecretValue",
"Resource" : "*"
} ]
}
将此资源策略添加到机密后,您还可以将标签“access-project”添加到机密和 user/role。请注意,这只会授予 GetSecretValue。让用户修改机密或机密上的标签可能不是一个好主意,但如果您需要这样做,您还可以包括参考教程中的其他条件。当然,如果你不想给secret添加标签,你也可以在资源策略中硬编码标签。
一般来说,这种方法更易于管理,因为您不需要在每次添加或删除 user/role 时都更新资源策略。您只需添加或删除用户和/或机密的标签。
另一种方法是只向整个帐户开放秘密,然后在该帐户限制内,谁可以通过 IAM 策略访问秘密(可能仍然使用教程中的标签)。跨账户访问需要资源策略授予访问权限和 IAM user/role 策略授予访问权限。
我有两个 AWS 账户:一个保存我的秘密的账户,一个用于部署我的 cloudformation 堆栈的账户。我正在使用 cloudformation 将我的基础架构部署为代码,并且有一个非常简单的 CD 管道:
- 部署到我的开发堆栈
- 等待批准
- 销毁开发堆栈
- 部署到我的生产堆栈
作为我的堆栈的一部分创建的 EC2 实例依赖于启动期间的机密。我想将秘密 ARN 添加到我的 EC2 用户数据脚本,然后在执行用户数据脚本时使用 AWS 命令行检索秘密值。
我的 EC2 实例使用的 IAM 服务角色也是作为我的 cloudformation 脚本的一部分创建的。因此,IAM 角色 ARN 在堆栈启动之前是未知的。我发现自己有点陷入困境:在授予对我的秘密的访问权限之前我无法启动我的堆栈,但我无法授予对我的秘密的访问权限,因为资源策略中的委托人不接受通配符。
有谁知道我如何能够为我的机密创建一个不需要事先知道 IAM 角色 ARN 的 secretsmanager 资源策略?或者还有其他想法吗?
在资源策略中指定主体的更好替代方法可能是使用基于属性的访问控制(ABAC,a.k.a 标记)。关于为 IAM 策略进行设置的内容相当详细tutorial,可以针对资源策略对其进行修改。
在这种方法中,您将创建资源策略以授予对其他帐户的访问权限,但仅限于具有给定标签的主体。然后,当您在其他帐户中创建角色时,您可以为他们添加标签以获取他们需要访问的秘密。例如,只有当标签“access-project”的秘密和访问角色的值相同时,下面的资源策略才会将 GetSecretValue 授予帐户 123456789012:
{
"Version" : "2012-10-17",
"Statement" : [ {
"Effect" : "Allow",
"Principal": {"AWS": "123456789012" },
"Condition": {
"StringEquals": {
"aws:ResourceTag/access-project": "${aws:PrincipalTag/access-project}"
}
},
"Action" : "secretsmanager:GetSecretValue",
"Resource" : "*"
} ]
}
将此资源策略添加到机密后,您还可以将标签“access-project”添加到机密和 user/role。请注意,这只会授予 GetSecretValue。让用户修改机密或机密上的标签可能不是一个好主意,但如果您需要这样做,您还可以包括参考教程中的其他条件。当然,如果你不想给secret添加标签,你也可以在资源策略中硬编码标签。
一般来说,这种方法更易于管理,因为您不需要在每次添加或删除 user/role 时都更新资源策略。您只需添加或删除用户和/或机密的标签。
另一种方法是只向整个帐户开放秘密,然后在该帐户限制内,谁可以通过 IAM 策略访问秘密(可能仍然使用教程中的标签)。跨账户访问需要资源策略授予访问权限和 IAM user/role 策略授予访问权限。