操作、资源和条件密钥(适用于AweatSecretsManager) - AWS Identity and Access Management
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

操作、资源和条件密钥(适用于AweatSecretsManager)

服务前缀: secretsmanager)提供以下服务特定资源、操作和条件环境密钥,以供在 IAM 权限策略。

参考文献:

由AW密钥管理器定义的操作

您可以在 Action 的要素 IAM 政策声明。使用策略授予权限以执行 AWS. 当您在策略中使用操作时,您通常允许或拒绝访问具有相同名称的API操作或CLI命令。但是,在某些情况下,单个操作可以控制对多个操作的访问。或者,某些操作需要几种不同的操作。

资源类型 列表示每个操作是否支持资源级别权限。如果此列没有值,则必须在 Resource 政策声明的要素。如果该列包含资源类型,则您可以使用该操作在语句中指定该类型的ARN。表中需要的资源用星号(*)表示。如果您在使用此操作的语句中指定了资源级别权限ARN,则其必须为此类型。某些操作支持多种资源类型。如果资源类型是可选的(未根据需要指明),则您可以选择使用一个,但不能使用另一个。

有关下表中各列的详细信息,请参阅 操作表.

行动 描述 访问级别 资源类型(*必填) 条件键 依存行为
CancelRotateSecret 允许用户取消正在进行的秘密轮换。 写入

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

CreateSecret 允许用户创建密钥,用于存储可查询和旋转的加密数据。 写入

Secret*

secretsmanager:Name

secretsmanager:Description

secretsmanager:KmsKeyId

aws:RequestTag/tag-key

aws:TagKeys

secretsmanager:ResourceTag/tag-key

DeleteResourcePolicy 允许用户删除附加到密钥的资源策略。 权限管理

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

DeleteSecret 允许用户删除密钥。 写入

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:RecoveryWindowInDays

secretsmanager:ForceDeleteWithoutRecovery

secretsmanager:ResourceTag/tag-key

DescribeSecret 允许用户检索关于密钥的元数据,但不检索加密数据。 Read

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

GetRandomPassword 使用户能够生成用于创建密码的随机串。 Read
GetResourcePolicy 允许用户将资源策略附加到密钥。 Read

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

GetSecretValue 使用户可以检索和对加密数据进行解析。 Read

Secret*

secretsmanager:SecretId

secretsmanager:VersionId

secretsmanager:VersionStage

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

ListSecretVersionIds 允许用户列出密钥的可用版本。 Read

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

ListSecrets 允许用户列出可用的密钥。 List
PutResourcePolicy 允许用户将资源策略附加至密钥。 权限管理

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

secretsmanager:BlockPublicPolicy

PutSecretValue 允许用户使用新的加密数据创建一个新版本的密钥。 写入

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

RestoreSecret 允许用户取消删除密钥。 写入

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

RotateSecret 允许用户开始转动密钥。 写入

Secret*

secretsmanager:SecretId

secretsmanager:RotationLambdaARN

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

TagResource 允许用户向密钥添加标记。 标记

Secret*

secretsmanager:SecretId

aws:RequestTag/tag-key

aws:TagKeys

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

UntagResource 允许用户从密钥中删除标记。 标记

Secret*

secretsmanager:SecretId

aws:TagKeys

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

UpdateSecret 允许用户使用新元数据或加密数据的新版本更新密钥。 写入

Secret*

secretsmanager:SecretId

secretsmanager:Description

secretsmanager:KmsKeyId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

UpdateSecretVersionStage 允许用户将一个阶段从一个密钥移动到另一个密钥。 写入

Secret*

secretsmanager:SecretId

secretsmanager:VersionStage

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

ValidateResourcePolicy 允许用户在附加策略之前验证资源策略。 权限管理

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

资源类型由AW密钥管理器定义

以下资源类型由此服务定义,可用于 Resource 要素 IAM 许可政策声明。每项行动 行动表 识别可通过该操作指定的资源类型。资源类型还可以定义您可以在策略中包含的条件键。这些键显示在表格的最后一列中。有关下表中各列的详细信息,请参阅 资源类型表.

资源类型 ARN 条件键
Secret arn:${Partition}:secretsmanager:${Region}:${Account}:secret:${SecretId}

aws:RequestTag/tag-key

aws:TagKeys

secretsmanager:ResourceTag/tag-key

secretsmanager:resource/AllowRotationLambdaArn

机密文件管理条件

“AW密钥管理器”定义了以下可在 Condition 的要素 IAM 政策。您可以使用这些键进一步细化政策声明适用的条件。有关下表中各列的详细信息,请参阅 条件键表.

要查看所有服务可用的全局条件密钥,请参阅 可用全局条件键IAM 政策参考.

条件键 描述 类型
aws:RequestTag/tag-key 通过用户向密钥管理器服务发出的请求中的密钥来过滤访问。
aws:TagKeys 通过用户向密钥管理器服务提出的请求中的所有标记密钥名称列表筛选访问。
secretsmanager:BlockPublicPolicy 根据资源策略是否阻止了广泛的ASM帐户访问来筛选访问。 布尔
secretsmanager:Description 按请求中的描述文本筛选访问。
secretsmanager:ForceDeleteWithoutRecovery 根据是否立即删除密钥筛选访问权限,无需任何恢复窗口。 布尔
secretsmanager:KmsKeyId 按请求中的KMS键的ARN筛选访问。
secretsmanager:Name 按照请求中的密钥的常用名称过滤访问权限。
secretsmanager:RecoveryWindowInDays 按密钥管理器等待的天数筛选访问,然后才能删除密钥。
secretsmanager:ResourceTag/tag-key 通过标记键和值对筛选访问。
secretsmanager:RotationLambdaARN 过滤通过ARN访问请求中的轮换Lambda功能。 ARN
secretsmanager:SecretId 按请求中的SecretID值筛选访问。 ARN
secretsmanager:VersionId 按照请求中的密钥版本的唯一标识符筛选访问。
secretsmanager:VersionStage 按请求中的版本阶段列表筛选访问。
secretsmanager:resource/AllowRotationLambdaArn 过滤通过ARN访问与密钥关联的轮换Lambda功能。 ARN