如何使用Boto3从其他AWS账户机密管理器获取所有机密?

时间:2019-12-16 17:43:14

标签: python-3.x amazon-web-services amazon-ec2 boto3 aws-secrets-manager

我在一个帐户上有多个EC2实例。这些ec2实例需要从另一个帐户获取来自Secrets Manger的所有秘密。

我从boto3纪录片中收集,我只能获取会话与之关联的帐户的机密:https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/secretsmanager.html

这是否意味着我需要为此其他帐户上的这些EC2用户创建一个IAM用户,以获取存储在该帐户上的机密?还是有另一种更清洁的方法?

1 个答案:

答案 0 :(得分:1)

“清洁剂”可能会偏于首选项,但我会这样:

  1. 在目标帐户中创建一个IAM角色,该角色具有附加的必需的Secrets Manager权限,然后授予对源帐户的访问权限。

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html

  1. 使用源帐户EC2上的boto3客户端假定该角色(确保现有角色具有STS承担角色权限)。

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-api.html

希望有帮助!