指定策略语句元素 - AWS Secrets Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

指定策略语句元素

下一节从 IAM 的角度简要说明了 Secrets Manager 权限策略。有关 IAM 策略语法的更多详细信息,请参阅 AWSIAM 中的 IAM 用户指南 策略参考

Secrets Manager 定义了一组 API 操作,以通过某种方式与密钥进行交互或处理密钥。要为这些操作授予权限,Secrets Manager 定义一组可以在策略中指定的相应操作。例如,Secrets Manager 定义一个操作以处理密钥,例如 CreateSecretGetSecretValueListSecretsRotateSecret

策略文档必须有一个 Version 元素。我们建议您始终使用最新版本,以确保您可以使用所有可用功能。截至到撰写本文为止,唯一的可用版本为 2012-10-17 (最新版本)。

此外,密钥策略文档还必须具有一个在数组中包含一个或多个语句的 Statement 元素。每个语句最多包含六个元素:

  • Sid –(可选)您可以将 Sid 作为语句标识符,这是标识语句的任意字符串。字符串不能包含空格。

  • Effect –(必需)可以使用该关键字指定策略语句是允许还是拒绝对资源执行的操作。如果没有显式允许访问资源,则隐式 拒绝访问。您也可显式拒绝对资源的访问。这样做可确保用户无法对指定资源执行指定操作,即使其他策略授予了访问权也是如此。您应该了解多个语句可能会发生重叠,一个语句中的显式拒绝将覆盖任何其他显式允许的语句。默认情况下,显式允许语句覆盖存在的隐式拒绝。

  • Action –(必需)可以使用该关键字标识要允许或拒绝的操作。这些操作通常但不总是与可用操作一对一对应。例如,根据指定的 Effectsecretsmanager:PutSecretValue 允许或拒绝执行 Secrets Manager PutSecretValue 操作的用户权限。

  • Resource –(必需)在附加到用户、组或角色的基于身份的策略中,您可以使用该关键字为适用的策略语句指定资源的 Amazon 资源名称 (ARN)。如果您不希望语句限制对特定资源的访问,则可以使用“*”,生成的语句将仅限制操作。在附加到密钥的基于资源的策略中,资源必须始终 为“*”。

  • Principal –(仅在基于资源的策略中是必需的)对于直接附加到密钥的基于资源的策略,您可以指定要获得权限的用户、角色、账户、服务或其他实体。此元素在基于身份的策略中无效。在基于身份的策略中,附加了策略的用户或角色自动且隐式地成为委托人。

  • Condition –(可选)使用此关键字指定必须满足才能“匹配”语句和应用 Effect 的其他条件。有关更多信息,请参阅 IAM JSON 策略元素: 条件