AWS 秘密管理器访问拒绝问题
AWS secret manager access deny issue
我有一个密钥 (USRFTP) 存储在帐户 A 中,我想从帐户 B 中角色为 ASHISHROLE 的 EC2 盒子访问此密钥。我是 运行 python 获取密钥的代码密钥如下所示,在密钥中使用资源策略如下所示,KMS 策略如下所示,但仍然遇到此问题
botocore.exceptions.ClientError:调用GetSecretValue操作时发生错误(AccessDeniedException):用户:arn:aws:sts::ACCOUNTB:assumed-role/ASHISHROLE/i-*********不是授权执行:secretsmanager:GetSecretValue 资源:arn:aws:secretsmanager:us-east-2:ACCOUNTA:secret:USRFTP-KJHJH
import boto3
import base64
from botocore.exceptions import ClientError
def get_secret():
secret_name = "arn:aws:secretsmanager:us-east-2:ACCOUNTA:secret:USRFTP"
region_name = "us-east-2"
# Create a Secrets Manager client
session = boto3.session.Session()
client = session.client(
service_name='secretsmanager',
region_name=region_name
)
print("here")
get_secret_value_response = client.get_secret_value(
SecretId=secret_name
)
if 'SecretString' in get_secret_value_response:
return get_secret_value_response['SecretString']
else:
return base64.b64decode(get_secret_value_response['SecretBinary'])
print(get_secret())
SECRET KEY RESOURCE POLICY
{
"Version" : "2012-10-17",
"Statement" : [ {
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::ACCOUNTB:role/ASHISHROLE"
},
"Action" : "secretsmanager:GetSecretValue",
"Resource" : "*"
} ]
}
KMS POLICY
{
"Id": "key-consolepolicy-3",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::ACCOUNTA:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::ACCOUNTA:role/OKin"
},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:TagResource",
"kms:UntagResource",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
},
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::ACCOUNTB:root"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow attachment of persistent resources",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::ACCOUNTB:root"
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
]
}
cross-account权限最困难的概念是它需要从两个方向授予权限。
在你的情况下,你有:
- Account-A
中的 Secrets Manager
- Account-B
中的 EC2 实例
- Account-B
中的 IAM 角色(Role-B)
这需要 A 到 B 的权限:
- Account-A 中的 Secret 需要允许从 Role-B 访问的“密钥资源策略”(您已经这样做了)
而且还需要B到A的权限:
Role-B 必须获得访问 Account-A
这可能看起来很奇怪,但我喜欢这样想:
- 默认情况下,IAM 用户/IAM 角色没有权限
- 要使用 Secrets Manager(即使在同一个帐户中),必须为 IAM 角色授予权限,例如
secretsmanager:GetSecretValue -- 否则不允许执行任何操作
- 默认情况下,无法从另一个 AWS 账户访问一个 AWS 账户(例如,我无法访问您的账户)
- 如果一个 AWS 账户愿意让另一个账户访问它,那么它必须授予访问权限。这可以在 S3、SNS、SQS、KMS 和 Secrets Manager 等服务中的 resource-level 处完成,因为它们能够在资源上创建策略。没有此功能的服务无法授予 cross-account 访问权限,必须通过在同一帐户中担任角色才能使用。
您问题中的配置似乎缺少需要授予 Role-B 访问 Secrets Manager 的权限,例如:
{
"Version" : "2012-10-17",
"Statement" : [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-2:ACCOUNTA:secret:USRFTP"
}
]
}
谢谢约翰的回答,但我想借用你,因为我也有同样的问题。我还注意到的一件事是设置这些权限时需要“Principal”密钥。所以这是类似于我必须做的事情,只是用通配符替换了我的 Principal 值:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "ALLOW",
"Action": "secretsmanager:GetSecretValue",
"Principal": "*",
"Resource": "**Your:resource:name:here**"
}
]
}
因此,只要确保至少包含 Principal 密钥就可以了。
我有一个密钥 (USRFTP) 存储在帐户 A 中,我想从帐户 B 中角色为 ASHISHROLE 的 EC2 盒子访问此密钥。我是 运行 python 获取密钥的代码密钥如下所示,在密钥中使用资源策略如下所示,KMS 策略如下所示,但仍然遇到此问题
botocore.exceptions.ClientError:调用GetSecretValue操作时发生错误(AccessDeniedException):用户:arn:aws:sts::ACCOUNTB:assumed-role/ASHISHROLE/i-*********不是授权执行:secretsmanager:GetSecretValue 资源:arn:aws:secretsmanager:us-east-2:ACCOUNTA:secret:USRFTP-KJHJH
import boto3
import base64
from botocore.exceptions import ClientError
def get_secret():
secret_name = "arn:aws:secretsmanager:us-east-2:ACCOUNTA:secret:USRFTP"
region_name = "us-east-2"
# Create a Secrets Manager client
session = boto3.session.Session()
client = session.client(
service_name='secretsmanager',
region_name=region_name
)
print("here")
get_secret_value_response = client.get_secret_value(
SecretId=secret_name
)
if 'SecretString' in get_secret_value_response:
return get_secret_value_response['SecretString']
else:
return base64.b64decode(get_secret_value_response['SecretBinary'])
print(get_secret())
SECRET KEY RESOURCE POLICY
{
"Version" : "2012-10-17",
"Statement" : [ {
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::ACCOUNTB:role/ASHISHROLE"
},
"Action" : "secretsmanager:GetSecretValue",
"Resource" : "*"
} ]
}
KMS POLICY
{
"Id": "key-consolepolicy-3",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::ACCOUNTA:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::ACCOUNTA:role/OKin"
},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:TagResource",
"kms:UntagResource",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
},
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::ACCOUNTB:root"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow attachment of persistent resources",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::ACCOUNTB:root"
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
]
}
cross-account权限最困难的概念是它需要从两个方向授予权限。
在你的情况下,你有:
- Account-A 中的 Secrets Manager
- Account-B 中的 EC2 实例
- Account-B 中的 IAM 角色(
Role-B)
这需要 A 到 B 的权限:
- Account-A 中的 Secret 需要允许从 Role-B 访问的“密钥资源策略”(您已经这样做了)
而且还需要B到A的权限:
Role-B必须获得访问 Account-A 中的 Secret 的权限
这可能看起来很奇怪,但我喜欢这样想:
- 默认情况下,IAM 用户/IAM 角色没有权限
- 要使用 Secrets Manager(即使在同一个帐户中),必须为 IAM 角色授予权限,例如
secretsmanager:GetSecretValue-- 否则不允许执行任何操作 - 默认情况下,无法从另一个 AWS 账户访问一个 AWS 账户(例如,我无法访问您的账户)
- 如果一个 AWS 账户愿意让另一个账户访问它,那么它必须授予访问权限。这可以在 S3、SNS、SQS、KMS 和 Secrets Manager 等服务中的 resource-level 处完成,因为它们能够在资源上创建策略。没有此功能的服务无法授予 cross-account 访问权限,必须通过在同一帐户中担任角色才能使用。
您问题中的配置似乎缺少需要授予 Role-B 访问 Secrets Manager 的权限,例如:
{
"Version" : "2012-10-17",
"Statement" : [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-2:ACCOUNTA:secret:USRFTP"
}
]
}
谢谢约翰的回答,但我想借用你,因为我也有同样的问题。我还注意到的一件事是设置这些权限时需要“Principal”密钥。所以这是类似于我必须做的事情,只是用通配符替换了我的 Principal 值:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "ALLOW",
"Action": "secretsmanager:GetSecretValue",
"Principal": "*",
"Resource": "**Your:resource:name:here**"
}
]
}
因此,只要确保至少包含 Principal 密钥就可以了。