Amazon 的托管策略 Amazon Secrets Manager - Amazon Secrets Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 的托管策略 Amazon Secrets Manager

Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, Amazon 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Services 服务 的 API 操作时更新 Amazon 托管策略。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管策略

Amazon 托管策略: SecretsManagerReadWrite

该政策提供读/写权限 Amazon Secrets Manager,包括描述亚马逊 RDS、Amazon Redshift 和 Amazon DocumentDB 资源的权限,以及 Amazon KMS 用于加密和解密密密钥的权限。该策略还允许创建 Amazon CloudFormation 变更集、从由管理的 Amazon S3 存储桶获取轮换模板 Amazon、列出 Amazon Lambda 函数和描述 Amazon EC2 VPCs。控制台需要这些权限才能使用现有的轮换函数设置轮换。

要创建新的轮换函数,您还必须拥有创建 Amazon CloudFormation 堆栈和 Amazon Lambda 执行角色的权限。您可以分配IAMFull访问管理策略。请参阅 轮换权限

权限详细信息

该策略包含以下权限。

  • secretsmanager – 允许主体执行所有 Secrets Manager 操作。

  • cloudformation— 允许委托人创建 Amazon CloudFormation 堆栈。这是必需的,以便使用控制台开启轮换功能的委托人可以通过堆栈创建 Lambda 轮换函数 Amazon CloudFormation 。有关更多信息,请参阅 Secrets Manager 的使用方式 Amazon CloudFormation

  • ec2— 允许校长描述亚马逊 EC2 VPCs。这是必需的条件,这样使用控制台的主体才能在与其存储在密钥中的凭证数据库相同的 VPC 中创建轮换函数。

  • kms— 允许委托人使用 Amazon KMS 密钥进行加密操作。这是必需的条件,这样 Secrets Manager 才能加密和解密密钥。有关更多信息,请参阅 中的密钥加密和解密 Amazon Secrets Manager

  • lambda – 允许主体列出 Lambda 轮换函数。这是必需的条件,以便使用控制台的主体可以选择现有的轮换函数。

  • rds – 允许主体描述 Amazon RDS 中的集群和实例。这是必需的条件,以便使用控制台的主体可以选择 Amazon RDS 集群或实例。

  • redshift – 允许主体描述 Amazon Redshift 中的集群。这是必需的条件,以便使用控制台的主体可以选择 Amazon Redshift 集群。

  • redshift-serverless – 允许主体描述 Amazon Redshift Serverless 中的命名空间。这是必需的,以便使用控制台的主体可以选择 Amazon Redshift Serverless 命名空间。

  • docdb-elastic – 允许主体描述 Amazon DocumentDB 中的弹性集群。这是必需的条件,以便使用控制台的主体可以选择 Amazon DocumentDB 弹性集群。

  • tag – 允许主体获取账户中所有已标记的资源。

  • serverlessrepo— 允许委托人创建 Amazon CloudFormation 更改集。这是必需的条件,以便使用控制台的主体可以创建 Lambda 轮换函数。有关更多信息,请参阅 Secrets Manager 的使用方式 Amazon CloudFormation

  • s3— 允许委托人从由 Amazon管理的 Amazon S3 存储桶中获取对象。此存储桶包含 Lambda 轮换函数模板。此权限是必需的,这样使用控制台的主体才能根据存储桶中的模板创建 Lambda 轮换函数。有关更多信息,请参阅 Secrets Manager 的使用方式 Amazon CloudFormation

要查看该政策,请参阅 SecretsManagerReadWrite JSON 策略文档

Secrets Manager 对 Amazon 托管策略的更新

查看有关 Secrets Manager Amazon 托管策略更新的详细信息。

更改 描述 日期 版本

SecretsManagerReadWrite – 对现有策略的更新

此策略已更新,允许描述访问 Amazon Redshift Serverless 的权限,以便控制台用户可在创建 Amazon Redshift 密钥时选择 Amazon Redshift Serverless 命名空间。

2024 年 3 月 12 日

v5

SecretsManagerReadWrite – 对现有策略的更新

此策略已更新,允许描述访问 Amazon DocumentDB 弹性集群的权限,以便控制台用户可在创建 Amazon DocumentDB 密钥时选择弹性集群。

2023 年 9 月 12 日

v4

SecretsManagerReadWrite – 对现有策略的更新

此策略已更新,允许描述访问 Amazon Redshift 的权限,以便控制台用户可在创建 Amazon Redshift 密钥时选择 Amazon Redshift 集群。此更新还增加了新的权限,允许对存储 Lambda 轮换函数模板 Amazon 的 Amazon S3 存储桶进行读取。

2020 年 6 月 24 日

v3

SecretsManagerReadWrite – 对现有策略的更新

此策略已更新,允许描述访问 Amazon RDS 集群的权限,以便控制台用户可在创建 Amazon RDS 密钥时选择集群。

2018 年 5 月 3 日

v2

SecretsManagerReadWrite:新策略

Secrets Manager 创建了一个策略,用于授予使用控制台所需的权限,并授予对 Secrets Manager 的所有读/写访问权限。

2018 年 04 月 4 日

v1