对 IAM 使用基于身份的策略(Secrets Manager 策略)和 ABAC - AWS Secrets Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对 IAM 使用基于身份的策略(Secrets Manager 策略)和 ABAC

作为账户的管理员,您可以将权限策略附加到 IAM 身份(如用户、组和角色),以控制对您的账户中的 AWS 资源的访问。在授予权限时,您确定权限、资源以及允许对这些资源执行的特定操作。如果您为一个角色授予权限,则您指定的其他账户中的用户可以担任该角色。

默认情况下,用户或角色没有任何种类的权限。您必须使用策略明确授予任何权限。如果您未显式授予权限,将隐式拒绝该权限。如果您显式拒绝一个权限,这会拒绝允许该权限的任何其他策略。换句话说,用户仅具有显式授予的权限,而没有显式拒绝的权限。

有关策略的基本要素的概述,请参阅使用策略管理对资源的访问

您还可以为 IAM 策略实施基于属性的访问控制 (ABAC)。基于属性的访问控制 (ABAC) 是一种授权策略,该策略基于属性来定义权限。在 AWS 中,这些属性称为标签。标签可以附加到 IAM 委托人(用户或角色)和 AWS 资源。您可以为 IAM 委托人创建单个 ABAC 策略或一小组策略。这些 ABAC 策略可设计为在委托人的标签与资源标签匹配时允许操作。ABAC 在快速增长的环境中非常有用,在策略管理变得繁琐的情况下可以提供帮助。

有关 ABAC 的更多信息,请参阅什么是 AWS 的 ABAC?