确定谁有权限访问您的 Amazon Secrets Manager 密钥 - Amazon Secrets Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

确定谁有权限访问您的 Amazon Secrets Manager 密钥

预设情况下,IAM 身份无权限访问密钥。授权访问密钥时,Secrets Manager 会评估密钥基于资源的策略以及发送请求的 IAM 用户或角色的所有身份策略。为此,Secrets Manager 使用与 IAM 用户指南确定请求是允许还是拒绝中描述过程类似的过程

多个策略应用于请求时,Secrets Manager 会使用层次结构控制权限:

  1. 如果任何策略中具有显式表达式的语句与请求操作和资源 deny 匹配:

    显式表达式 deny 覆盖其他所有内容并阻止操作。

  2. 如果没有显式表达式 deny,但带有显式表达式 allow 与请求操作和资源匹配:

    显式表达式 allow 授予请求中的操作访问语句中资源的权限。

    如果身份和密钥在两个不同的帐户中,在密钥资源策略和附加到身份的策略中必须有 allow,否则 Amazon 拒绝该请求。有关更多信息,请参见 跨账户访问权限

  3. 如果没有带显式表达式 allow 与请求操作和资源相匹配:

    Amazon 在预设情况下拒绝请求,称为隐式拒绝。

查看密钥基于资源的策略
确定哪些人可以通过基于身份的策略进行访问