本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 确定谁有权访问你的 Amazon Secrets Manager 秘密 预设情况下,IAM 身份无权限访问密钥。授权访问密钥时,Secrets Manager 会评估密钥基于资源的策略以及发送请求的 IAM 用户或角色的所有身份策略。为此,Secrets Manager 使用与 *IAM 用户指南*中[确定请求是允许还是拒绝中描述过程类似的过程](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow)。 多个策略应用于请求时,Secrets Manager 会使用层次结构控制权限: 1. 如果任何策略中具有显式表达式的语句与请求操作和资源 `deny` 匹配: 显式表达式 `deny` 覆盖其他所有内容并阻止操作。 1. 如果没有显式表达式 `deny`,但带有显式表达式 `allow` 与请求操作和资源匹配: 显式表达式 `allow` 授予请求中的操作访问语句中资源的权限。 如果身份和密钥位于两个不同的账户中,则该密钥的资源策略和附加到身份的策略`allow`中都必须有,否则会 Amazon 拒绝请求。有关更多信息,请参阅 [跨账户访问](auth-and-access_examples_cross.md)。 1. 如果没有带显式表达式 `allow` 与请求操作和资源相匹配: Amazon 默认情况下拒绝请求,这称为*隐*式拒绝。 **查看密钥基于资源的策略** + 请执行以下操作之一: + 打开 Secrets Manager 控制台,网址为[https://console.aws.amazon.com/secretsmanager/](https://console.amazonaws.cn/secretsmanager/)。在您的密钥详细信息页面中,在**资源权限**部分,选择**编辑权限**。 + 使用 to Amazon CLI call [https://docs.amazonaws.cn//cli/latest/reference/secretsmanager/get-resource-policy.html](https://docs.amazonaws.cn//cli/latest/reference/secretsmanager/get-resource-policy.html)或 Amazon SDK 进行通话[https://docs.amazonaws.cn/secretsmanager/latest/apireference/API_GetResourcePolicy.html](https://docs.amazonaws.cn/secretsmanager/latest/apireference/API_GetResourcePolicy.html)。 **确定哪些人可以通过基于身份的策略进行访问** + 使用 IAM 策略模拟器。参见[用 IAM policy simulator 测试 IAM 策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_testing-policies.html)