控制委托人对密钥的访问 - AWS Secrets Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

控制委托人对密钥的访问

在将基于资源的策略与直接附加到密钥的 Secrets Manager 结合使用时,Resource 自动且隐式地成为附加了策略的密钥。您现在可以指定 Principal 元素。元素可让您指定可访问该密钥的 Principal 用户、组、角色、账户或 IAM 服务委托人,以及他们可以对该密钥执行的操作。AWS有关指定 Principal 的各种方法的更多信息,请参阅 https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements.html#Principal 中的IAM 用户指南委托人

示例:向密钥所在账户中的用户授予权限

在直接附加到密钥以作为元数据的一部分时,以下策略为用户 Anaya 授予对密钥运行任何 Secrets Manager 操作的权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:*", "Principal": {"AWS": "arn:aws:iam::123456789012:user/anaya"}, "Resource": "*" } ] }

示例:向不同账户中的授权用户授予权限

在直接附加到密钥以作为元数据的一部分时,以下策略为账户 123456789012 中的 IAM 用户 Mateo 授予访问权限以读取特定密钥的任何版本:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/mateo" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] }