AWS Secret Manager 访问拒绝问题答案

【问题标题】：AWS secret manager access deny issueAWS Secret Manager 访问拒绝问题
【发布时间】：2020-12-22 23:25:13
【问题描述】：

我有一个存储在帐户 A 中的密钥 (USRFTP)，我想从 EC2 框中访问此密钥，其角色为帐户 B 中的 ASHISHROLE。我正在运行 python 代码来获取密钥，如下所示，秘密使用资源策略key 如下，KMS 策略如下，但还是遇到这个问题

botocore.exceptions.ClientError：调用 GetSecretValue 操作时发生错误 (AccessDeniedException)：用户：arn:aws:sts::ACCOUNTB:assumed-role/ASHISHROLE /i-*********is无权执行：secretsmanager:GetSecretValue on resource:arn:aws:secretsmanager:us-east-2:ACCOUNTA:secret:USRFTP-KJHJH

    import boto3
    import base64
    from botocore.exceptions import ClientError
    def get_secret():
        secret_name = "arn:aws:secretsmanager:us-east-2:ACCOUNTA:secret:USRFTP"
        region_name = "us-east-2"
        # Create a Secrets Manager client
        session = boto3.session.Session()
        client = session.client(
            service_name='secretsmanager',
            region_name=region_name
        )
        print("here")

        get_secret_value_response = client.get_secret_value(
            SecretId=secret_name
        )
        if 'SecretString' in get_secret_value_response:
            return  get_secret_value_response['SecretString']
        else:
            return  base64.b64decode(get_secret_value_response['SecretBinary'])
    
    print(get_secret())

SECRET KEY RESOURCE POLICY
  

 {
  "Version" : "2012-10-17",
  "Statement" : [ {
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::ACCOUNTB:role/ASHISHROLE"
    },
    "Action" : "secretsmanager:GetSecretValue",
    "Resource" : "*"
  } ]
}

KMS POLICY

    {
        "Id": "key-consolepolicy-3",
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "Enable IAM User Permissions",
                "Effect": "Allow",
                "Principal": {
                    "AWS": "arn:aws:iam::ACCOUNTA:root"
                },
                "Action": "kms:*",
                "Resource": "*"
            },
            {
                "Sid": "Allow access for Key Administrators",
                "Effect": "Allow",
                "Principal": {
                    "AWS": "arn:aws:iam::ACCOUNTA:role/OKin"
                },
                "Action": [
                    "kms:Create*",
                    "kms:Describe*",
                    "kms:Enable*",
                    "kms:List*",
                    "kms:Put*",
                    "kms:Update*",
                    "kms:Revoke*",
                    "kms:Disable*",
                    "kms:Get*",
                    "kms:Delete*",
                    "kms:TagResource",
                    "kms:UntagResource",
                    "kms:ScheduleKeyDeletion",
                    "kms:CancelKeyDeletion"
                ],
                "Resource": "*"
            },
            {
                "Sid": "Allow use of the key",
                "Effect": "Allow",
                "Principal": {
                    "AWS": "arn:aws:iam::ACCOUNTB:root"
                },
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:ReEncrypt*",
                    "kms:GenerateDataKey*",
                    "kms:DescribeKey"
                ],
                "Resource": "*"
            },
            {
                "Sid": "Allow attachment of persistent resources",
                "Effect": "Allow",
                "Principal": {
                    "AWS": "arn:aws:iam::ACCOUNTB:root"
                },
                "Action": [
                    "kms:CreateGrant",
                    "kms:ListGrants",
                    "kms:RevokeGrant"
                ],
                "Resource": "*",
                "Condition": {
                    "Bool": {
                        "kms:GrantIsForAWSResource": "true"
                    }
                }
            }
        ]
    }

【问题讨论】：

您是否按照Share Secrets Manager Secrets Between Accounts 中的说明进行操作，尤其是第 3 步，该步骤授予 IAM 角色访问 Account-A 中的 Secret 的 IAM 权限？（您没有在您的问题中显示此策略。）为了解释，除了被授予访问权限之外，必须特别授予账户 B 中的 IAM 角色对账户 A 中的密钥（或所有密钥）调用 secretsmanager:GetSecretValue 的权限通过添加到 Secret 本身的资源权限。
@JohnRotenstein 请回复为答案，所以我可以将其标记为答案。是的，我还需要在账户 B 中添加策略。我也有一个语法错误，例如 :secret:/* > 这应该是实际的 :secret:*

标签： amazon-web-services aws-secrets-manager

【解决方案1】：

跨账户权限最困难的概念是需要从两个方向授予权限。

在你的情况下，你有：

Account-A 中的 Secrets Manager
Account-B 中的 EC2 实例
账户-B 中的一个 IAM 角色 (Role-B)

这需要从 A 到 B 的权限：

Account-A 中的 Secret 需要一个允许 Role-B 访问的“Secret Key Resource Policy”（您已经这样做了）

而且它还需要从 B 到 A 的权限：

必须授予 Role-B 访问 Account-A 中的 Secret 的权限

这可能看起来很奇怪，但我喜欢这样想：

默认情况下，IAM 用户/IAM 角色没有权限
要使用 Secrets Manager（即使在同一个账户中），必须向 IAM 角色授予权限，例如 secretsmanager:GetSecretValue -- 否则不允许执行任何操作
默认情况下，无法从另一个 AWS 账户访问 AWS 账户（例如，我无法访问您的账户）
如果 AWS 账户愿意让另一个账户访问它，那么它必须授予访问权限。这可以在 S3、SNS、SQS、KMS 和 Secrets Manager 等服务的资源级别完成，因为它们能够针对资源创建策略。没有此功能的服务无法授予跨账户访问权限，必须通过在同一账户中担任角色来使用。

您问题中的配置似乎缺少需要授予Role-B 以访问 Secrets Manager 的权限，例如：

{
      "Version" : "2012-10-17",
      "Statement" : [
        {
          "Effect": "Allow",
          "Action": "secretsmanager:GetSecretValue",
          "Resource": "arn:aws:secretsmanager:us-east-2:ACCOUNTA:secret:USRFTP"
        }
      ]
}

【讨论】：

【解决方案2】：

感谢约翰的回答，但我想背负你，因为我也遇到了同样的问题。我还注意到的一件事是设置这些权限时需要“主体”键。所以这与我必须做的事情类似，只是用通配符替换了我的 Principal 值：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "ALLOW",
      "Action": "secretsmanager:GetSecretValue",
      "Principal": "*",
      "Resource": "**Your:resource:name:here**"
    }
  ]
}

所以只要确保至少包含 Principal 密钥，你就应该很好。

【讨论】：