Amazon Secrets Manager 的 Amazon 托管策略 - Amazon Secrets Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Secrets Manager 的 Amazon 托管策略

Amazon 托管式策略是由 Amazon 创建和管理的独立策略。Amazon 托管式策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住,Amazon 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。

您无法更改 Amazon 托管式策略中定义的权限。如果 Amazon 更新在 Amazon 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 Amazon Web Services 服务 启动或新的 API 操作可用于现有服务时,Amazon 最有可能更新 Amazon 托管式策略。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略

Amazon 托管策略:SecretsManagerReadWrite

该策略提供对 Amazon Secrets Manager 的读/写访问权限,包括描述 Amazon RDS、Amazon Redshift 和 Amazon DocumentDB 资源的权限,以及使用 Amazon KMS 加密和解密密钥的权限。该策略还提供如下权限:创建 Amazon CloudFormation 更改集,从由 Amazon 管理的 Amazon S3 存储桶获取轮换模板,列出 Amazon Lambda 函数以及描述 Amazon EC2 VPC。控制台需要这些权限才能使用现有的轮换函数设置轮换。

要创建新的轮换函数,您还必须拥有创建 Amazon CloudFormation 堆栈和 Amazon Lambda 执行角色的权限。您可以分配 IAMFullAccess 托管策略。请参阅 轮换权限

权限详细信息

该策略包含以下权限。

  • secretsmanager – 允许主体执行所有 Secrets Manager 操作。

  • cloudformation – 允许主体创建 Amazon CloudFormation 堆栈。这是必需的条件,以便使用控制台开启轮换函数的主体可以通过 Amazon CloudFormation 堆栈创建 Lambda 轮换函数。有关更多信息,请参阅 Secrets Manager 如何使用 Amazon CloudFormation

  • ec2 – 允许主体描述 Amazon EC2 VPC。这是必需的条件,这样使用控制台的主体才能在与其存储在密钥中的凭证数据库相同的 VPC 中创建轮换函数。

  • kms – 允许主体使用 Amazon KMS 密钥进行加密操作。这是必需的条件,这样 Secrets Manager 才能加密和解密密钥。有关更多信息,请参阅 Amazon Secrets Manager 中的密钥加密和解密

  • lambda – 允许主体列出 Lambda 轮换函数。这是必需的条件,以便使用控制台的主体可以选择现有的轮换函数。

  • rds – 允许主体描述 Amazon RDS 中的集群和实例。这是必需的条件,以便使用控制台的主体可以选择 Amazon RDS 集群或实例。

  • redshift – 允许主体描述 Amazon Redshift 中的集群。这是必需的条件,以便使用控制台的主体可以选择 Amazon Redshift 集群。

  • redshift-serverless – 允许主体描述 Amazon Redshift Serverless 中的命名空间。这是必需的,以便使用控制台的主体可以选择 Amazon Redshift Serverless 命名空间。

  • docdb-elastic – 允许主体描述 Amazon DocumentDB 中的弹性集群。这是必需的条件,以便使用控制台的主体可以选择 Amazon DocumentDB 弹性集群。

  • tag – 允许主体获取账户中所有已标记的资源。

  • serverlessrepo– 允许主体创建 Amazon CloudFormation 更改集。这是必需的条件,以便使用控制台的主体可以创建 Lambda 轮换函数。有关更多信息,请参阅 Secrets Manager 如何使用 Amazon CloudFormation

  • s3 – 允许主体从 Amazon S3 存储桶获取对象,该存储桶由 Amazon 管理。此存储桶包含 Lambda 轮换函数模板。此权限是必需的,这样使用控制台的主体才能根据存储桶中的模板创建 Lambda 轮换函数。有关更多信息,请参阅 Secrets Manager 如何使用 Amazon CloudFormation

要查看该策略,请参阅 SecretsManagerReadWrite JSON 策略文档

NSecrets Manager 更新到 Amazon 托管策略

查看有关针对 Secrets Manager 更新到 Amazon 托管策略的详细信息。

更改 描述 日期 版本

SecretsManagerReadWrite – 更新到现有策略

此策略已更新,允许描述访问 Amazon Redshift Serverless 的权限,以便控制台用户可在创建 Amazon Redshift 密钥时选择 Amazon Redshift Serverless 命名空间。

2024 年 3 月 12 日

v5

SecretsManagerReadWrite – 更新到现有策略

此策略已更新,允许描述访问 Amazon DocumentDB 弹性集群的权限,以便控制台用户可在创建 Amazon DocumentDB 密钥时选择弹性集群。

2023 年 9 月 12 日

v4

SecretsManagerReadWrite – 更新到现有策略

此策略已更新,允许描述访问 Amazon Redshift 的权限,以便控制台用户可在创建 Amazon Redshift 密钥时选择 Amazon Redshift 集群。此更新还添加新的权限,允许对存储 Lambda 轮换函数模板的 Amazon 管理的 Amazon S3 存储桶进行读取访问。

2020 年 6 月 24 日

v3

SecretsManagerReadWrite – 更新到现有策略

此策略已更新,允许描述访问 Amazon RDS 集群的权限,以便控制台用户可在创建 Amazon RDS 密钥时选择集群。

2018 年 5 月 3 日

v2

SecretsManagerReadWrite – 新策略

Secrets Manager 创建了一个策略,用于授予使用控制台所需的权限,并授予对 Secrets Manager 的所有读/写访问权限。

2018 年 04 月 4 日

v1