AWS Secrets Manager 的身份验证和访问控制 - AWS Secrets Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Secrets Manager 的身份验证和访问控制

访问 AWS Secrets Manager 需要 AWS 凭证。这些凭证必须包含访问您要访问的 AWS 资源(如 Secrets Manager 密钥)的权限。以下几节提供了有关如何使用 AWS Identity and Access Management (IAM) 策略帮助确保安全访问密钥和控制谁可以访问和管理密钥的详细信息。

必须严格控制对密钥的访问,因为密钥包含极其敏感的信息。通过使用 AWS 和 IAM 权限策略的权限功能,您可以控制哪些用户或服务有权访问您的密钥。您可以指定用户可以对授权密钥执行哪些 API、CLI 和控制台操作。通过利用 IAM 策略语言中的细粒度访问功能,您可以通过使用标签作为筛选条件来选择将用户限制为仅您的一部分密钥(或甚至一个单独密钥)。您也可以通过使用暂存标签作为筛选条件将用户限定为使用密钥的特定版本。

您还可以确定哪些人可以管理 哪些密钥。您可以指定谁更新或修改密钥和关联的元数据。如果您具有 AWS Secrets Manager 服务的管理员权限,您可以为其他人授予权限以委派 Secrets Manager 任务的访问权限。

您可以将权限策略附加到用户、组和角色,并指定附加的身份可以访问的密钥。Secrets Manager 将该过程称为基于身份的策略。或者,您也可以将权限策略直接附加到密钥,并指定密钥的访问权限。Secrets Manager 将该过程称为基于身份的策略。无论使用哪种方式,这些策略都会指定每个委托人可以对密钥执行的操作。

有关 IAM 权限策略的常规信息,请参阅 IAM 中的 IAM 用户指南 策略概述

有关专用于 AWS Secrets Manager 的可用权限,请参阅可以在 IAM 策略或 AWS Secrets Manager 密钥策略中使用的操作、资源和上下文键

以下各节介绍如何管理 AWS Secrets Manager的权限。我们建议您先阅读概述。