本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
指定策略语句元素
下一节从 IAM 的角度简要说明了 Secrets Manager 权限策略。有关 IAM 策略语法的更多详细信息,请参阅 AWSIAM 中的 IAM 用户指南 策略参考。
Secrets Manager 定义了一组 API 操作,以通过某种方式与密钥进行交互或处理密钥。要为这些操作授予权限,Secrets Manager 定义一组可以在策略中指定的相应操作。例如,Secrets Manager 定义一个操作以处理密钥,例如 CreateSecret、GetSecretValue、ListSecrets 和 RotateSecret。
策略文档必须有一个 Version 元素。我们建议您始终使用最新版本,以确保您可以使用所有可用功能。截至到撰写本文为止,唯一的可用版本为 2012-10-17 (最新版本)。
此外,密钥策略文档还必须具有一个在数组中包含一个或多个语句的 Statement 元素。每个语句最多包含六个元素:
-
Sid –(可选)您可以将
Sid作为语句标识符,这是标识语句的任意字符串。字符串不能包含空格。 -
Effect –(必需)可以使用该关键字指定策略语句是允许还是拒绝对资源执行的操作。如果没有显式允许访问资源,则隐式 拒绝访问。您也可显式拒绝对资源的访问。这样做可确保用户无法对指定资源执行指定操作,即使其他策略授予了访问权也是如此。您应该了解多个语句可能会发生重叠,一个语句中的显式拒绝将覆盖任何其他显式允许的语句。默认情况下,显式允许语句覆盖存在的隐式拒绝。
-
Action –(必需)可以使用该关键字标识要允许或拒绝的操作。这些操作通常但不总是与可用操作一对一对应。例如,根据指定的
Effect,secretsmanager:PutSecretValue允许或拒绝执行 Secrets ManagerPutSecretValue操作的用户权限。 -
Resource –(必需)在附加到用户、组或角色的基于身份的策略中,您可以使用该关键字为适用的策略语句指定资源的 Amazon 资源名称 (ARN)。如果您不希望语句限制对特定资源的访问,则可以使用“*”,生成的语句将仅限制操作。在附加到密钥的基于资源的策略中,资源必须始终 为“*”。
-
Principal –(仅在基于资源的策略中是必需的)对于直接附加到密钥的基于资源的策略,您可以指定要获得权限的用户、角色、账户、服务或其他实体。此元素在基于身份的策略中无效。在基于身份的策略中,附加了策略的用户或角色自动且隐式地成为委托人。
-
Condition –(可选)使用此关键字指定必须满足才能“匹配”语句和应用
Effect的其他条件。有关更多信息,请参阅 IAM JSON 策略元素: 条件。