本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
确定谁有权访问你的 Amazon Secrets Manager 秘密
预设情况下,IAM 身份无权限访问密钥。授权访问密钥时,Secrets Manager 会评估密钥基于资源的策略以及发送请求的 IAM 用户或角色的所有身份策略。为此,Secrets Manager 使用与 IAM 用户指南中确定请求是允许还是拒绝中描述过程类似的过程。
多个策略应用于请求时,Secrets Manager 会使用层次结构控制权限:
-
如果任何策略中具有显式表达式的语句与请求操作和资源
deny匹配:显式表达式
deny覆盖其他所有内容并阻止操作。 -
如果没有显式表达式
deny,但带有显式表达式allow与请求操作和资源匹配:显式表达式
allow授予请求中的操作访问语句中资源的权限。如果身份和密钥位于两个不同的账户中,则该密钥的资源策略和附加到身份的策略
allow中都必须有,否则会 Amazon 拒绝请求。有关更多信息,请参阅 跨账户访问。 -
如果没有带显式表达式
allow与请求操作和资源相匹配:Amazon 默认情况下拒绝请求,这称为隐式拒绝。
查看密钥基于资源的策略
-
请执行以下操作之一:
-
打开 Secrets Manager 控制台,网址为https://console.aws.amazon.com/secretsmanager/
。在您的密钥详细信息页面中,在资源权限部分,选择编辑权限。 -
使用 to Amazon CLI call
get-resource-policy或 Amazon SDK 进行通话GetResourcePolicy。
-
确定哪些人可以通过基于身份的策略进行访问
-
使用 IAM policy simulator。参见用 IAM policy simulator 测试 IAM 策略