本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon 的托管策略 Amazon Secrets Manager
Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, Amazon 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。
您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Service 的 API 操作时更新 Amazon 托管策略。
有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略。
Amazon 托管策略: SecretsManagerReadWrite
该政策提供读/写权限 Amazon Secrets Manager,包括描述亚马逊 RDS、Amazon Redshift 和 Amazon DocumentDB 资源的权限,以及 Amazon KMS 用于加密和解密密密钥的权限。该策略还允许创建 Amazon CloudFormation 更改集、从由管理的 Amazon S3 存储桶获取轮换模板 Amazon、列出 Amazon Lambda 函数以及描述 Amazon EC2 VPC。控制台需要这些权限才能使用现有的轮换函数设置轮换。
要创建新的轮换函数,您还必须拥有创建 Amazon CloudFormation 堆栈和 Amazon Lambda 执行角色的权限。您可以分配 IAM FullAccess 托管策略。请参阅 轮换权限。
权限详细信息
该策略包含以下权限。
-
secretsmanager– 允许主体执行所有 Secrets Manager 操作。 -
cloudformation— 允许委托人创建 Amazon CloudFormation 堆栈。这是必需的,以便使用控制台开启轮换功能的委托人可以通过堆栈创建 Lambda 轮换函数 Amazon CloudFormation 。有关更多信息,请参阅 Secrets Manager 如何使用 Amazon CloudFormation。 -
ec2– 允许主体描述 Amazon EC2 VPC。这是必需的条件,这样使用控制台的主体才能在与其存储在密钥中的凭证数据库相同的 VPC 中创建轮换函数。 -
kms— 允许委托人使用 Amazon KMS 密钥进行加密操作。这是必需的条件,这样 Secrets Manager 才能加密和解密密钥。有关更多信息,请参阅 中的秘密加密和解密 Amazon Secrets Manager。 -
lambda– 允许主体列出 Lambda 轮换函数。这是必需的条件,以便使用控制台的主体可以选择现有的轮换函数。 -
rds– 允许主体描述 Amazon RDS 中的集群和实例。这是必需的条件,以便使用控制台的主体可以选择 Amazon RDS 集群或实例。 -
redshift– 允许主体描述 Amazon Redshift 中的集群。这是必需的条件,以便使用控制台的主体可以选择 Amazon Redshift 集群。 -
redshift-serverless— 允许委托人在 Amazon Redshift Serverless 中描述命名空间。这是必需的,以便使用控制台的委托人可以选择 Amazon Redshift Serverless 命名空间。 -
docdb-elastic– 允许主体描述 Amazon DocumentDB 中的弹性集群。这是必需的条件,以便使用控制台的主体可以选择 Amazon DocumentDB 弹性集群。 -
tag– 允许主体获取账户中所有已标记的资源。 -
serverlessrepo— 允许委托人创建 Amazon CloudFormation 更改集。这是必需的条件,以便使用控制台的主体可以创建 Lambda 轮换函数。有关更多信息,请参阅 Secrets Manager 如何使用 Amazon CloudFormation。 -
s3— 允许委托人从由 Amazon管理的 Amazon S3 存储桶中获取对象。此存储桶包含 Lambda 轮换函数模板。此权限是必需的,这样使用控制台的主体才能根据存储桶中的模板创建 Lambda 轮换函数。有关更多信息,请参阅 Secrets Manager 如何使用 Amazon CloudFormation。
要查看该政策,请参阅 SecretsManagerReadWrite JSON 策略文档。
Secrets Manager 对 Amazon 托管策略的更新
查看有关 Secrets Manager Amazon 托管策略更新的详细信息。
| 更改 | 描述 | 日期 |
|---|---|---|
|
SecretsManagerReadWrite – 对现有策略的更新 |
此政策已更新,允许描述访问亚马逊 Redshift Serverless,以便主机用户在创建亚马逊 Redshift 密钥时可以选择亚马逊 Redshift 无服务器命名空间。 |
2024 年 3 月 12 日 |
|
SecretsManagerReadWrite – 更新了现有策略 |
此策略已更新,允许描述访问 Amazon DocumentDB 弹性集群的权限,以便控制台用户可在创建 Amazon DocumentDB 密钥时选择弹性集群。 |
2023 年 9 月 12 日 |
|
SecretsManagerReadWrite – 更新了现有策略 |
此策略已更新,允许描述访问 Amazon Redshift 的权限,以便控制台用户可在创建 Amazon Redshift 密钥时选择 Amazon Redshift 集群。此更新还增加了新的权限,允许对存储 Lambda 轮换函数模板 Amazon 的 Amazon S3 存储桶进行读取访问。 |
2020 年 6 月 24 日 |
|
SecretsManagerReadWrite – 更新了现有策略 |
此策略已更新,允许描述访问 Amazon RDS 集群的权限,以便控制台用户可在创建 Amazon RDS 密钥时选择集群。 |
2018 年 5 月 3 日 |
|
Secrets Manager 创建了一个策略,用于授予使用控制台所需的权限,并授予对 Secrets Manager 的所有读/写访问权限。 |
2018 年 04 月 4 日 | |
|
Secrets Manager 开始跟踪更改 |
Secrets Manager 开始跟踪其 Amazon 托管策略的更改。 |
2018 年 04 月 4 日 |