Amazon Secrets Manager 的权限策略示例 - Amazon Secrets Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Secrets Manager 的权限策略示例

权限策略是 JSON 结构化文本。参见 JSON 策略文档结构

附加到资源和身份上的权限策略非常相似。在访问密钥的策略中的一些元素包括:

  • Principal:授予访问权限的用户。参见 IAM 用户指南中的指定委托人。您在身份上附加策略时,策略中不会包含 Principal 元素。

  • Action:他们可以做什么。请参阅 Secrets Manager 操作

  • Resource:他们可以访问哪些密钥。请参阅Secrets Manager 资源

    根据您附加的策略,通配符 (*) 具有不同的含义:

    • 在附加到密钥的策略中,* 表示该策略适用于此密钥。

    • 在附加到身份的策略中,* 表示该策略适用于账户中的所有资源(包括密钥)。

要将策略附加到密钥中,请参阅 将权限策略附加到 Amazon Secrets Manager 密钥

要将策略附加到密钥中,请参阅 将权限策略附加到身份

示例:检索单个秘密值的权限

要授予检索密钥值的权限,您可以将策略附加到密钥或身份上。要帮助确定使用的策略类型,请参阅基于身份的策略和基于资源的策略。有关如何附加策略的信息,请参阅 将权限策略附加到 Amazon Secrets Manager 密钥将权限策略附加到身份

以下示例说明了授予对密钥访问权限的两种不同方式。第一个示例是您可以附加到密钥上的基于资源的策略。当您希望向多个用户或角色授予单个密钥的访问权限时,此示例非常有用。第二个示例是基于身份的策略,您可以将其附加到 IAM 中的用户或角色。当您希望授予对 IAM 组的访问权限时,此示例非常有用。要授予在批处理 API 调用中检索一组秘密的权限,请参阅 批量检索一组秘密值的权限

例 读取一个密钥(附加到一个密钥)

通过将以下策略附加到密钥,你可以授予密钥的访问权限。要使用该策略,请参阅 将权限策略附加到 Amazon Secrets Manager 密钥

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountId:role/EC2RoleToAccessSecrets" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] }
例 读取一个密钥(附加到一个身份)

通过将以下策略附加到身份,您可以授予密钥的访问权限。要使用该策略,请参阅 将权限策略附加到身份。如果将此策略附加到角色 EC2RoleToAccessSecrets 上,将授予与之前策略相同的权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "SecretARN" } ] }
例 读取使用客户自主管理型密钥加密的秘密(附加到身份)

如果使用客户管理的密钥对密钥进行加密,则可以通过将以下策略附加到身份来授予读取该密钥的访问权限。要使用该策略,请参阅 将权限策略附加到身份

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "SecretARN" }, { "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "KMSKeyARN" } ] }

批量检索一组秘密值的权限

例 批量读取一组秘密(附加到身份)

您可以通过将以下策略附加到身份来授予在批处理 API 调用中检索一组秘密的访问权限。该策略对调用方进行了限制,因此即使批量调用包含其他秘密,它们也只能检索 SecretARN1SecretARN2SecretARN3 指定的秘密。如果调用方还在批处理 API 调用中请求其他秘密,则 Secrets Manager 将不会返回它们。有关更多信息,请参阅从 Amazon Secrets Manager 批量检索一组秘密。要使用该策略,请参阅 将权限策略附加到身份

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:BatchGetSecretValue", "secretsmanager:ListSecrets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "SecretARN1", "SecretARN2", "SecretARN3" ] } ] }

示例:通配符

您可以使用通配符在策略元素中包含一组值。

例 访问路径中的所有密钥(附加到身份)

以下策略授予以 TestEnv/ 开头的名称检索所有密钥的访问权限。要使用该策略,请参阅 将权限策略附加到身份

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:Region:AccountId:secret:TestEnv/*" } }
例 访问所有密钥的元数据(附加到身份)

以下策略授予 DescribeSecret 和权限开头为 ListListSecretsListSecretVersionIds。要使用该策略,请参阅 将权限策略附加到身份

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:List*" ], "Resource": "*" } }
例 匹配密钥名称(附加到身份)

以下策略按名称授予密钥的所有 Secrets Manager 权限。要使用该策略,请参阅 将权限策略附加到身份

要匹配密钥名称,可以通过将区域、账户 ID、机密名称和通配符 (?) 放在一起来匹配单个随机字符,从而为密钥创建 ARN。Secrets Manager 会将六个随机字符附加到密钥名称作为 ARN 的一部分,因此您可以使用此通配符来匹配这些字符。如果使用 "another_secret_name-*" 语法,Secrets Manager 不仅匹配具有 6 个随机字符的预期密钥,而且还匹配 "another_secret_name-<anything-here>a1b2c3"

因为除了 6 个随机字符外,您可以预测密钥的所有 ARN 部分,所以使用通配符 '??????' 语法,您能够安全地将权限授予给尚不存在的密钥。但要注意,如果删除密钥并以相同名称重新创建,即使 6 个字符发生变化,用户也会自动获得新密钥的权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:*", "Resource": [ "arn:aws:secretsmanager:Region:AccountId:secret:a_specific_secret_name-a1b2c3", "arn:aws:secretsmanager:Region:AccountId:secret:another_secret_name-??????" ] } ] }

示例:创建密钥的权限

要为用户授予权限创建密钥,我们建议您将权限策略附加到用户所属的 IAM 组。请参阅 IAM 用户组

例 创建密钥(附加到身份)

以下策略授予创建密钥和查看密钥列表的权限。要使用该策略,请参阅 将权限策略附加到身份

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:ListSecrets" ], "Resource": "*" } ] }

示例:权限和 VPC

如果您需要在 VPC 内部访问 Secrets Manager,您可以通过在权限策略中包含条件来确保对 Secrets Manager 的请求来自 VPC。有关更多信息,请参阅 VPC 终端节点条件使用 Amazon Secrets Manager VPC 终端节点

请确保请求访问来自其他 Amazon 服务也来自 VPC,否则此策略会拒绝它们的访问。

例 请求应通过 VPC 终端节点(连接到密钥)

以下策略仅允许用户在请求通过 VPC 终端节点时执行 Secrets Manager 操作 vpce-1234a5678b9012c。要使用该策略,请参阅 将权限策略附加到 Amazon Secrets Manager 密钥

{ "Id": "example-policy-1", "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictGetSecretValueoperation", "Effect": "Deny", "Principal": "*", "Action": "secretsmanager:GetSecretValue", "Resource": "*", "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1234a5678b9012c" } } } ] }
例 请求应来自 VPC(连接到密钥)

以下示例密钥策略仅允许来自 vpc-12345678 的命令创建和管理密钥。此外,只有在请求来自于 vpc-2b2b2b2b 时,该策略才允许使用访问密钥的加密值的操作。如果您在一个 VPC 中运行应用程序,但使用第二个隔离的 VPC 以提供管理功能,则可能会使用此类策略。要使用该策略,请参阅 将权限策略附加到 Amazon Secrets Manager 密钥

{ "Id": "example-policy-2", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAdministrativeActionsfromONLYvpc-12345678", "Effect": "Deny", "Principal": "*", "Action": [ "secretsmanager:Create*", "secretsmanager:Put*", "secretsmanager:Update*", "secretsmanager:Delete*", "secretsmanager:Restore*", "secretsmanager:RotateSecret", "secretsmanager:CancelRotate*", "secretsmanager:TagResource", "secretsmanager:UntagResource" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:sourceVpc": "vpc-12345678" } } }, { "Sid": "AllowSecretValueAccessfromONLYvpc-2b2b2b2b", "Effect": "Deny", "Principal": "*", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:sourceVpc": "vpc-2b2b2b2b" } } } ] }

示例:使用标签控制对密钥的访问

您可以使用标签来控制对密钥的访问。使用标签控制权限在快速增长的环境中非常有用,并在策略管理变得繁琐的情况下可以提供帮助。一种策略是将标签附加到密钥上,然后在密钥具有特定标签时向身份授予权限。

例 允许访问带有特定标记的机密(附加到身份)

以下策略允许 DescribeSecret 关于带有密钥的标签密钥 "ServerName" 和值 "ServerABC"。要使用该策略,请参阅 将权限策略附加到身份

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "secretsmanager:DescribeSecret", "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/ServerName": "ServerABC" } } } }

示例:限制对标签与密钥标签匹配的标识的访问

一种策略是将标签附加到密钥和 IAM 身份上。然后,您可以创建权限策略,在身份的标签与密钥的标签匹配时允许操作。有关完整的教程,请参阅根据标签定义访问密钥的权限

使用标签控制权限在快速增长的环境中非常有用,并在策略管理变得繁琐的情况下可以提供帮助。有关更多信息,请参阅什么是适用于 Amazon 的 ABAC?

例 允许访问与密钥具有相同标签的角色(附加到密钥)

仅当标签 AccessProject 对于密钥和角色具有相同的值时,以下策略才会向账户 123456789012 授予 GetSecretValue 权限。要使用该策略,请参阅 将权限策略附加到 Amazon Secrets Manager 密钥

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "AWS": "123456789012" }, "Condition": { "StringEquals": { "aws:ResourceTag/AccessProject": "${ aws:PrincipalTag/AccessProject }" } }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } }

示例:服务主体

如果附加到密钥的资源策略包括 Amazon 服务主体,我们建议您使用 aws:SourceArnaws:SourceAccount 全局条件键。仅当请求是从另一项 Amazon 服务发送到 Secrets Manager 时,ARN 和账户值才会包含在授权上下文中。这种条件的组合避免了潜在的混淆代理情况

如果资源 ARN 包含资源策略中不允许使用的字符,则不能在 aws:SourceArn 条件键的值中使用该资源 ARN 。改为使用 aws:SourceAccount 条件键。有关更多信息,请参阅 IAM 要求

服务主体通常不用作附加到密钥的策略中的主体,但某些 Amazon 服务需要此主体。有关服务要求您附加到密钥的资源策略的信息,请参阅该服务的文档。

例 允许服务使用服务主体访问密钥(附加到密钥)
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "service-name.amazonaws.com" ] }, "Action": "secretsmanager:GetSecretValue", "Resource": "*", "Condition": { "ArnLike": { "aws:sourceArn": "arn:aws:service-name::123456789012:*" }, "StringEquals": { "aws:sourceAccount": "123456789012" } } } ] }