将完全 Secrets Manager 管理员权限授予用户 - AWS Secrets Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将完全 Secrets Manager 管理员权限授予用户

要成为 Secrets Manager 管理员,您必须在几个服务中具有权限。我们建议您不要将 Secrets Manager 作为最终用户服务启用,以使用户能够创建和管理其密钥。启用轮换所需的权限授予标准用户不应具有的重要权限。应由受信任的管理员管理 Secrets Manager 服务。最终用户不再直接处理凭证或将其嵌入在代码中。

警告

在启用轮换时,Secrets Manager 创建一个 Lambda 函数并将 IAM 角色附加到该函数。这需要使用一些仅为受信任的个人授予的 IAM 权限。因此,Secrets Manager 的托管策略 包含这些 IAM 权限。除了 SecretsManagerReadWrite 托管策略以外,您还必须明确选择分配 IAMFullAccess 托管策略以创建一个具有完全访问权限的 Secrets Manager 管理员。

如果仅使用 SecretsManagerReadWrite 策略授予访问权限,则允许 IAM 用户创建和管理密钥,但该用户无法创建和配置启用轮换所需的 Lambda 轮换函数。

完成以下步骤,将完全 Secrets Manager 管理员权限授予您账户下的某个 IAM 用户、组或角色。在本示例中,您不会创建新策略,而是附加预配置了权限的 AWS 托管策略。

将完全管理员权限授予 IAM 用户、组或角色

  1. 以有权将 IAM 策略附加到其他 IAM 用户的用户身份登录到 Identity and Access Management (IAM) 控制台 (https://console.amazonaws.cn/iam/)。

    在 IAM 控制台中,导航到策略

  2. 对于 Filter Policies: 策略类型,选择 AWS managed (AWS 托管),然后在 Search (搜索) 框中开始键入 SecretsManagerReadWrite,直到您可以在列表中看到该策略。

  3. 选择 SecretsManagerReadWrite 策略名称。

  4. 选择策略操作,然后选择附加

  5. 选中要添加为 Secrets Manager 管理员的用户、组或角色旁边的框。

  6. 选择 Attach policy (附加策略)

  7. 重复步骤 1 到 6 以附加 IAMFullAccess 策略。

选定的用户、组和角色可以在 Secrets Manager 中立即开始执行任务。