本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon 的托管策略 Amazon Secrets Manager
<a name="reference_available-policies"></a>

 Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住， Amazon 托管策略可能不会为您的特定用例授予最低权限权限，因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限，则更新会影响该策略所关联的所有委托人身份（用户、组和角色）。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Services 服务 的 API 操作时更新 Amazon 托管策略。

有关更多信息，请参阅《IAM 用户指南》**中的 [Amazon 托管式策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## Amazon 托管策略： SecretsManagerReadWrite
<a name="security-iam-awsmanpol-SecretsManagerReadWrite"></a>

本政策提供 read/write 访问权限 Amazon Secrets Manager，包括描述亚马逊 RDS、Amazon Redshift 和 Amazon DocumentDB 资源的权限，以及 Amazon KMS 用于加密和解密密密钥的权限。该策略还允许创建 Amazon CloudFormation 变更集、从由管理的 Amazon S3 存储桶获取轮换模板 Amazon、列出 Amazon Lambda 函数以及描述 Amazon EC2 VPCs。控制台需要这些权限才能使用现有的轮换函数设置轮换。

要创建新的轮换函数，您还必须拥有创建 Amazon CloudFormation 堆栈和 Amazon Lambda 执行角色的权限。您可以分配[IAMFull访问](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/IAMFullAccess.html)管理策略。请参阅[轮换权限](rotating-secrets-required-permissions-function.md)。

**权限详细信息**

该策略包含以下权限。




+ `secretsmanager` – 允许主体执行所有 Secrets Manager 操作。
+ `cloudformation`— 允许委托人创建 Amazon CloudFormation 堆栈。这是必需的，以便使用控制台开启轮换功能的委托人可以通过堆栈创建 Lambda 轮换函数 Amazon CloudFormation 。有关更多信息，请参阅 [Secrets Manager 的使用方式 Amazon CloudFormation](cloudformation.md#how-asm-uses-cfn)。
+ `ec2`— 允许委托人描述 Amazon EC2 VPCs。这是必需的条件，这样使用控制台的主体才能在与其存储在密钥中的凭证数据库相同的 VPC 中创建轮换函数。
+ `kms`— 允许委托人使用 Amazon KMS 密钥进行加密操作。这是必需的条件，这样 Secrets Manager 才能加密和解密密钥。有关更多信息，请参阅 [中的秘密加密和解密 Amazon Secrets Manager](security-encryption.md)。
+ `lambda` – 允许主体列出 Lambda 轮换函数。这是必需的条件，以便使用控制台的主体可以选择现有的轮换函数。
+ `rds` – 允许主体描述 Amazon RDS 中的集群和实例。这是必需的条件，以便使用控制台的主体可以选择 Amazon RDS 集群或实例。
+ `redshift` – 允许主体描述 Amazon Redshift 中的集群。这是必需的条件，以便使用控制台的主体可以选择 Amazon Redshift 集群。
+ `redshift-serverless` – 允许主体描述 Amazon Redshift Serverless 中的命名空间。这是必需的，以便使用控制台的主体可以选择 Amazon Redshift Serverless 命名空间。
+ `docdb-elastic` – 允许主体描述 Amazon DocumentDB 中的弹性集群。这是必需的条件，以便使用控制台的主体可以选择 Amazon DocumentDB 弹性集群。
+ `tag` – 允许主体获取账户中所有已标记的资源。
+ `serverlessrepo`— 允许委托人创建 Amazon CloudFormation 更改集。这是必需的条件，以便使用控制台的主体可以创建 Lambda 轮换函数。有关更多信息，请参阅 [Secrets Manager 的使用方式 Amazon CloudFormation](cloudformation.md#how-asm-uses-cfn)。
+ `s3`— 允许委托人从由 Amazon管理的 Amazon S3 存储桶中获取对象。此存储桶包含 Lambda [轮换函数模板](reference_available-rotation-templates.md)。此权限是必需的，这样使用控制台的主体才能根据存储桶中的模板创建 Lambda 轮换函数。有关更多信息，请参阅 [Secrets Manager 的使用方式 Amazon CloudFormation](cloudformation.md#how-asm-uses-cfn)。

要查看该政策，请参阅 [SecretsManagerReadWrite JSON 策略文档](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/SecretsManagerReadWrite.html#SecretsManagerReadWrite-json)。

## Amazon 托管策略： AWSSecretsManagerClientReadOnlyAccess
<a name="security-iam-awsmanpol-AWSSecretsManagerClientReadOnlyAccess"></a>

此策略为客户端应用程序提供对 Amazon Secrets Manager 密钥的只读访问权限。它允许委托人检索机密值和描述机密元数据，以及解密使用客户管理的密钥加密的机密所需的 Amazon KMS 权限。

**权限详细信息**

该策略包含以下权限。
+ `secretsmanager`— 允许委托人检索机密值并描述机密元数据。
+ `kms`— 允许委托人使用密钥解密机密。 Amazon KMS 此权限的范围仅限于 Secrets Manager 在特定服务条件下使用的密钥。

要查看有关策略（包括 JSON 策略文档的最新版本）的更多信息，请参阅《Amazon 托管式策略参考指南》**中的 [AWSSecretsManagerClientReadOnlyAccess](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSSecretsManagerClientReadOnlyAccess.html)。

## Secrets Manager 对 Amazon 托管策略的更新
<a name="security-iam-awsmanpol-updates"></a>

查看有关 Secrets Manager Amazon 托管策略更新的详细信息。


| 更改 | 描述 | 日期 | 版本 | 
| --- | --- | --- | --- | 
|  [AWSSecretsManagerClientReadOnlyAccess](#security-iam-awsmanpol-AWSSecretsManagerClientReadOnlyAccess)：新托管策略  |  Secrets Manager 创建了一个新的托管策略，为客户端应用程序提供对密钥的只读访问权限。此策略允许检索机密值和描述机密元数据，并具有解密密钥所需的 Amazon KMS 权限。  | 2025 年 11 月 5 日 | v1 | 
|  [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite)：对现有策略的更新  |  此策略已更新，允许描述访问 Amazon Redshift Serverless 的权限，以便控制台用户可在创建 Amazon Redshift 密钥时选择 Amazon Redshift Serverless 命名空间。  | 2024 年 3 月 12 日 | v5 | 
|  [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite)：对现有策略的更新  |  此策略已更新，允许描述访问 Amazon DocumentDB 弹性集群的权限，以便控制台用户可在创建 Amazon DocumentDB 密钥时选择弹性集群。  | 2023 年 9 月 12 日 | v4 | 
|  [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite)：对现有策略的更新  |  此策略已更新，允许描述访问 Amazon Redshift 的权限，以便控制台用户可在创建 Amazon Redshift 密钥时选择 Amazon Redshift 集群。此更新还增加了新的权限，允许对存储 Lambda 轮换函数模板 Amazon 的 Amazon S3 存储桶进行读取访问。  | 2020 年 6 月 24 日 | v3 | 
|  [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite)：对现有策略的更新  |  此策略已更新，允许描述访问 Amazon RDS 集群的权限，以便控制台用户可在创建 Amazon RDS 密钥时选择集群。  | 2018 年 5 月 3 日 |  v2 | 
|  [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite)：新策略  |  Secrets Manager 创建了一个策略，用于授予使用控制台所需的权限，并授予对 Secrets Manager 的所有 read/write 访问权限。  | 2018 年 04 月 4 日 | v1 |