了解策略评估 - AWS Secrets Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解策略评估

在授予密钥的访问权限时,Secrets Manager 评估附加到密钥的密钥策略,以及附加到发送请求的 IAM 用户或角色的所有 IAM 策略。为此,Secrets Manager 使用类似于 IAM 用户指南 中的确定是允许还是拒绝请求部分所述的过程。

例如,假设您具有两个密钥和三个用户,它们均位于同一 AWS 账户中。密钥和用户有以下策略:

  • 密钥 1 没有密钥策略。

  • 密钥 2 有一个允许访问用户委托人 Ana 和 Carlos 的密钥策略。

  • Ana 没有引用密钥 1 或密钥 2 的 IAM 策略。

  • Bob 的 IAM 策略允许对所有密钥执行所有 Secrets Manager 操作。

  • Carlos 的 IAM 策略拒绝对所有密钥执行所有 Secrets Manager 操作。

Secrets Manager 确定以下访问权限:

  • Ana 只能访问密钥 2。她没有将策略附加到其用户,但密钥 2 为其显式授予访问权限。

  • Bob 可以访问密钥 1 和密钥 2,因为 Bob 的 IAM 策略允许访问账户中的所有密钥,并且没有显式“拒绝”覆盖访问权限。

  • Carlos 无法访问密钥 1 或密钥 2,因为 Secrets Manager 拒绝其 IAM 策略中的所有操作。Carlos 的 IAM 策略中的显式拒绝覆盖附加到密钥 2 的密钥策略中的显式“允许”。

Secrets Manager 从密钥或身份中添加“允许”访问的所有策略语句。对于重叠的操作和资源,任何显式拒绝将覆盖任何允许。