Amazon Web Services (AWS) 是当今全球最大的云计算提供商之一，Amazon Secrets Manager 是 AWS 的一项完全托管的机密管理服务。但是在跨账号或者跨服务的场景下，我们常常会碰到“如何授权其他 AWS 账号或者服务来访问 AWS Secrets Manager” 以及 "如何使私人数据中心(VPC）或者 IDC 服务中的 EC2 等虚拟机访问Secerets Manager"的问题。在这篇文章中，我们将通过实例和详细步骤来演示，从而解决这些问题。

免绑卡注册AWS云账户：http://hkonecloud.755800.com/

第一：跨账号授权

在AWS 的场景下，一般建议不要将关键信息都放在同一个 AWS 账户中，以减少意外泄露的风险。但是在一些情况下，我们依然需要将一个 AWS 资源（例如 DB 实例或者 EC2) 的访问权限授予另一个 AWS 账户。在这种情况下，我们可以使用 AWS Identity and Access Management (IAM) 中的 Role , 并结合 AWS Security Token Service (STS) ，为另一个 AWS 账户提供一个临时安全凭证，来访问 Secrets Manager 。具体操作详见官方文档。

第二：跨服务 / VPC 授权

如果我们需要在私人数据中心（IDC）中的虚拟机实例直接访问 AWS Secrets Manager，我们也可以通过 AWS 授权策略来授权 EC2 访问 Secrets Manager 。在授权的同时，我们需要将相应的 EC2 实例加入与Secrets Manager在同vpc的安全组中。 具体操作详见官方文档。

本文分享了如何使用AWS IAM、STS和授权策略来授权其他AWS账号或服务、VPC和IDC中的EC2访问AWS Secrets Manger。通过这些方法，使用方便的临时凭证和分配最小的权限，有效地保护了敏感信息，并提高了系统的安全性，是一种很好的安全管理方案。

海外服务器免费测试：http://www.755800.com/