本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
确定谁有权限访问您的 Amazon Secrets Manager 密钥
预设情况下,IAM 身份无权限访问密钥。授权访问密钥时,Secrets Manager 会评估密钥基于资源的策略以及发送请求的 IAM 用户或角色的所有身份策略。为此,Secrets Manager 使用与 IAM 用户指南中确定请求是允许还是拒绝中描述过程类似的过程。
多个策略应用于请求时,Secrets Manager 会使用层次结构控制权限:
-
如果任何策略中具有显式表达式的语句与请求操作和资源
deny
匹配:显式表达式
deny
覆盖其他所有内容并阻止操作。 -
如果没有显式表达式
deny
,但带有显式表达式allow
与请求操作和资源匹配:显式表达式
allow
授予请求中的操作访问语句中资源的权限。如果身份和密钥在两个不同的帐户中,在密钥资源策略和附加到身份的策略中必须有
allow
,否则 Amazon 拒绝该请求。有关更多信息,请参见 跨账户存取。 -
如果没有带显式表达式
allow
与请求操作和资源相匹配:Amazon 在预设情况下拒绝请求,称为隐式拒绝。
查看密钥基于资源的策略
-
请执行以下操作之一:
-
在网址 https://console.aws.amazon.com/secretsmanager/
上打开 Secrets Manager 控制台。在您的密钥详细信息页面中,在资源权限部分,选择编辑权限。 -
使用 Amazon CLI 调用
get-resource-policy
,或者使用 Amazon SDK 调用GetResourcePolicy
。
-
确定哪些人可以通过基于身份的策略进行访问
-
使用 IAM policy simulator。参见用 IAM policy simulator 测试 IAM 策略