Amazon Secrets Manager 的身份验证和访问控制 - Amazon Secrets Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Secrets Manager 的身份验证和访问控制

Secrets Manager 用Amazon Identity and Access Management (IAM) 来保护密钥的访问权限。IAM 提供了身份验证和访问控制。身份验证确认个人请求的身份。Secrets Manager 使用密码、访问密钥登录过程和多重身份验证(MFA) 令牌来验证用户身份。请参阅登录到 Amazon访问控制确保只有获得批准的个人才能对密钥等 Amazon 资源执行操作。Secrets Manager 使用策略来定义谁有权访问哪些资源,以及身份可以对这些资源执行哪些操作。参见 IAM 中的策略和权限

您可以使用 Amazon Identity and Access Management Roles Anywhere 在 IAM 中获取临时安全凭证,以用于在 Amazon 之外运行的服务器、容器和应用程序等工作负载。您的工作负载可以使用与 Amazon 应用程序相同的 IAM policy 和 IAM 角色来访问 Amazon 资源。借助 IAM Roles Anywhere,您可以使用 Secrets Manager 来存储和管理凭证,以便 Amazon 中和应用程序服务器等本地设备上的资源能够访问。有关更多信息,请参阅 IAM Roles Anywhere 用户指南

Secrets Manager 管理员权限

如果要授予 Secrets Manager 管理员权限,请根据添加和删除 IAM 身份权限和下列策略进行操作:

我们建议您不要向最终用户授予管理员权限。尽管这样用户可以创建和管理密钥,但启用轮换所需的权限 (IAMFullAccess) 会授予不适合最终用户的重要权限。

访问密钥的权限

通过采用 IAM 权限策略,您可以控制哪些用户或服务有权访问您的密钥。权限策略描述了哪些人可以对哪些资源执行哪些操作。您可以:

Lambda 轮换函数的权限

Secrets Manager 使用 Amazon Lambda 函数轮换密钥。Lambda 函数必须具有对密钥以及密钥包含凭据的数据库或服务的访问权限。请参阅 轮换权限

加密密钥权限

Secrets Manager 使用 Amazon Key Management Service (Amazon KMS) 来对密钥进行加密。Amazon 托管式密钥 aws/secretsmanager 自动拥有正确的权限。如果您使用不同的 KMS 密钥,Secrets Manager 需要对该密钥的权限。请参阅 KMS 密钥的权限