Amazon Web Services (AWS) 是當(dāng)今全球最大的云計算提供商之一，Amazon Secrets Manager 是 AWS 的一項完全托管的機(jī)密管理服務(wù)。但是在跨賬號或者跨服務(wù)的場景下，我們常常會碰到“如何授權(quán)其他 AWS 賬號或者服務(wù)來訪問 AWS Secrets Manager” 以及 "如何使私人數(shù)據(jù)中心(VPC）或者 IDC 服務(wù)中的 EC2 等虛擬機(jī)訪問Secerets Manager"的問題。在這篇文章中，我們將通過實例和詳細(xì)步驟來演示，從而解決這些問題。

免綁卡注冊AWS云賬戶：http://hkonecloud.755800.com/

第一：跨賬號授權(quán)

在AWS 的場景下，一般建議不要將關(guān)鍵信息都放在同一個 AWS 賬戶中，以減少意外泄露的風(fēng)險。但是在一些情況下，我們依然需要將一個 AWS 資源（例如 DB 實例或者 EC2) 的訪問權(quán)限授予另一個 AWS 賬戶。在這種情況下，我們可以使用 AWS Identity and Access Management (IAM) 中的 Role , 并結(jié)合 AWS Security Token Service (STS) ，為另一個 AWS 賬戶提供一個臨時安全憑證，來訪問 Secrets Manager 。具體操作詳見官方文檔。

第二：跨服務(wù) / VPC 授權(quán)

如果我們需要在私人數(shù)據(jù)中心（IDC）中的虛擬機(jī)實例直接訪問 AWS Secrets Manager，我們也可以通過 AWS 授權(quán)策略來授權(quán) EC2 訪問 Secrets Manager 。在授權(quán)的同時，我們需要將相應(yīng)的 EC2 實例加入與Secrets Manager在同vpc的安全組中。 具體操作詳見官方文檔。

本文分享了如何使用AWS IAM、STS和授權(quán)策略來授權(quán)其他AWS賬號或服務(wù)、VPC和IDC中的EC2訪問AWS Secrets Manger。通過這些方法，使用方便的臨時憑證和分配最小的權(quán)限，有效地保護(hù)了敏感信息，并提高了系統(tǒng)的安全性，是一種很好的安全管理方案。

海外服務(wù)器免費測試：http://hbjsdrq.com/