将权限策略附加到身份 - Amazon Secrets Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将权限策略附加到身份

将权限策略附加到 IAM 身份、用户、用户组和角色。在基于身份的策略中,您指定该身份可以访问哪些密钥以及该身份可以对密钥执行哪些操作。有关更多信息,请参阅添加和删除 IAM 身份权限

您可以向代表其他服务中的应用程序或用户的角色授予权限。例如,在 Amazon EC2 实例上运行的应用程序可能需要访问数据库。您可以创建附加到 EC2 实例配置文件的 IAM 角色,然后使用权限策略授予该角色对包含数据库凭证的密钥的访问权限。有关更多信息,请参阅使用 IAM 角色为 Amazon EC2 实例上运行的应用程序授予权限。您可以附加角色的其他服务包括 Amazon RedshiftAmazon LambdaAmazon ECS

您还可以通过除 IAM 以外的其他身份系统验证的用户授予权限。例如,您可以将 IAM 角色与使用 Amazon Cognito 登录的移动应用程序用户关联。角色向应用程序授予具有角色权限策略中权限的临时凭据。然后,您可以使用权限策略授予角色对密钥的访问权限。有关更多信息,请参阅身份提供者和联合身份验证

您必须使用基于身份的策略来:

  • 授予对多个密钥的身份访问权限。

  • 控制哪些人可以创建新密钥,哪些人可以访问尚未创建的密钥。

  • 授予 IAM 组对密钥的访问权限。

有关更多信息,请参阅Amazon Secrets Manager 的权限策略示例