的身份验证和访问控制AmazonSecrets Manager - Amazon Secrets Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

的身份验证和访问控制AmazonSecrets Manager

针对 的访问权限AmazonSecrets Manager 需要Amazon凭证。这些凭据必须包含访问Amazon您要访问的资源(例如 Secrets Manager 密钥)。以下部分提供了有关如何使用 AWS Identity and Access Management (IAM) 策略帮助确保安全访问密钥和控制谁可以访问和管理密钥的详细信息。

必须严格控制对密钥的访问,因为密钥包含极其敏感的信息。通过使用Amazon和 IAM 权限策略,您可以控制哪些用户或服务有权访问您的密钥。您可以指定用户可以对授权密钥执行哪些 API、CLI 和控制台操作。通过利用IAM 策略语言中,您可以通过使用标签作为筛选条件来选择将用户限制为仅您的一部分密钥(或甚至一个单独密钥)。您也可以通过使用暂存标签作为筛选条件将用户限定为使用密钥的特定版本。

您还可以确定哪些人可以管理 哪些密钥。您可以指定谁更新或修改密钥和关联的元数据。如果您有管理员权限访问AmazonSecrets Manager 服务中,您可以通过向其他人授予权限来委派 Secrets Manager 任务的访问权限。

您可以将权限策略附加到用户、组和角色,并指定附加的身份可以访问哪些密钥。Secrets Manager 将此过程称为基于身份的策略。或者,您也可以将权限策略直接附加到密钥并指定密钥的访问权限。Secrets Manager 是指这个过程基于资源的策略。无论使用哪种方式,这些策略都会指定每个委托人可以对密钥执行的操作。

有关 IAM 权限策略的一般信息,请参阅IAM 策略概述中的IAM 用户指南

有关专用于AmazonSecrets Manager,请参阅您可以在的 IAM 策略或密钥策略中使用的操作、资源和上下文键AmazonSecrets Manager

以下部分介绍如何管理AmazonSecrets Manager 密钥 我们建议您先阅读概述。