使用策略管理对资源的访问 - AWS Secrets Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用策略管理对资源的访问

权限策略 描述可以对哪些资源 执行哪些操作下一节介绍了用于创建权限策略的可用选项,并简要介绍了组成策略的元素以及可以为 Secrets Manager 创建的两种策略。

注意

本节讨论了在 Secrets Manager 上下文中使用 IAM,但没有提供有关 IAM 服务的详细信息。有关完整的 IAM 文档,请参阅 IAM 用户指南。有关 IAM 策略语法和介绍的信息,请参阅 AWSIAM 中的 IAM 用户指南 策略参考

您应该了解可以将基于密钥或基于身份的权限策略用于 Secrets Manager。Secrets Manager 将所有应用的策略组合在一起,并将它们作为一个大型策略进行处理。该基本规则结构控制交互:

显式拒绝 >> 显式允许 >> 隐式拒绝 (默认)

请求对 AWS 资源执行 AWS 操作时,应用以下规则:

  • 如果具有显式“拒绝”的任何策略中的任何语句与请求操作和资源匹配: 显式拒绝将覆盖所有其他内容并阻止对指定资源执行的指定操作。

  • 如果没有显式“拒绝”,但具有显式“允许”的语句与请求操作和资源匹配: 显式允许适用,这会为该语句中的操作授予对该语句中资源的访问权限。

  • 如果没有具有显式“拒绝”的语句和具有显式“允许”的语句与请求操作和资源匹配:默认情况下,AWS 隐式地 拒绝请求。

您应该了解,可以使用显式允许覆盖隐式 拒绝。无法覆盖显式 拒绝。

在多个策略适用时的有效权限
策略 A 策略 B 有效的权限
允许 无提示 允许访问
允许 允许 允许访问
允许 拒绝 访问被拒绝
无提示 无提示 访问被拒绝
无提示 允许 允许访问
无提示 拒绝 访问被拒绝
拒绝 无提示 访问被拒绝
拒绝 允许 访问被拒绝
拒绝 拒绝 访问被拒绝

策略 A 和策略 B 可以为任意类型:附加到用户或角色的基于身份的 IAM 策略或附加到密钥的基于资源的策略。您可以提取前两个策略的有效权限以包含其他策略的效果(结果)并将其视为新的策略 A,然后将第三个策略的结果添加为策略 B,对于每个适用的额外策略重复该过程。