Secrets Manager 操作 Secrets Manager 资源条件键 BlockPublicPolicy 条件 IP 地址条件 VPC 终端节点条件

Amazon Secrets Manager 的权限参考

要查看组成权限策略的元素，请参阅 JSON 策略文档结构和 IAM JSON 策略元素引用。

要开始编写您自己的权限策略，请参阅 Amazon Secrets Manager 的权限策略示例。

Secrets Manager 操作

操作	描述	访问级别	资源类型（* 为必需）	条件键
CancelRotateSecret	授予权限以取消进行中的密钥轮换	Write	Secret*
CancelRotateSecret	授予权限以取消进行中的密钥轮换	Write		secretsmanager:SecretId secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key aws:ResourceTag/${TagKey} secretsmanager:SecretPrimaryRegion
CreateSecret	授予权限以创建密钥，其中存储着可查询和轮换的加密数据	Write	Secret*
CreateSecret	授予权限以创建密钥，其中存储着可查询和轮换的加密数据	Write		secretsmanager:Name secretsmanager:Description secretsmanager:KmsKeyId aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys secretsmanager:ResourceTag/tag-key secretsmanager:AddReplicaRegions secretsmanager:ForceOverwriteReplicaSecret
DeleteResourcePolicy	授予权限以删除附加到密钥的资源策略	权限管理	Secret*
DeleteResourcePolicy	授予权限以删除附加到密钥的资源策略	权限管理		secretsmanager:SecretId secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key aws:ResourceTag/${TagKey} secretsmanager:SecretPrimaryRegion
DeleteSecret	授予删除密钥的权限	Write	Secret*
DeleteSecret	授予删除密钥的权限	Write		secretsmanager:SecretId secretsmanager:resource/AllowRotationLambdaArn secretsmanager:RecoveryWindowInDays secretsmanager:ForceDeleteWithoutRecovery secretsmanager:ResourceTag/tag-key aws:ResourceTag/${TagKey} secretsmanager:SecretPrimaryRegion
DescribeSecret	授予权限以检索密钥的元数据，但不包含加密数据	Read	Secret*
DescribeSecret	授予权限以检索密钥的元数据，但不包含加密数据	Read		secretsmanager:SecretId secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key aws:ResourceTag/${TagKey} secretsmanager:SecretPrimaryRegion
GetRandomPassword	授予权限以生成随机字符串以用于创建密码	Read
GetResourcePolicy	授予权限以获取附加到密钥的资源策略	Read	Secret*
GetResourcePolicy	授予权限以获取附加到密钥的资源策略	Read		secretsmanager:SecretId secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key aws:ResourceTag/${TagKey} secretsmanager:SecretPrimaryRegion
GetSecretValue	授予权限以检索和解密加密数据	Read	Secret*
GetSecretValue	授予权限以检索和解密加密数据	Read		secretsmanager:SecretId secretsmanager:VersionId secretsmanager:VersionStage secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key aws:ResourceTag/${TagKey} secretsmanager:SecretPrimaryRegion
ListSecretVersionIds	授予权限以列出可用的密钥版本	Read	Secret*
ListSecretVersionIds	授予权限以列出可用的密钥版本	Read		secretsmanager:SecretId secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key aws:ResourceTag/${TagKey} secretsmanager:SecretPrimaryRegion
ListSecrets	授予权限以列出可用密钥	List
PutResourcePolicy	授予将资源策略附加到密钥的权限	权限管理	Secret*
PutResourcePolicy	授予将资源策略附加到密钥的权限	权限管理		secretsmanager:SecretId secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key aws:ResourceTag/${TagKey} secretsmanager:BlockPublicPolicy secretsmanager:SecretPrimaryRegion
PutSecretValue	授予权限以使用新的加密数据创建密钥的新版本	Write	Secret*
PutSecretValue	授予权限以使用新的加密数据创建密钥的新版本	Write		secretsmanager:SecretId secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key aws:ResourceTag/${TagKey} secretsmanager:SecretPrimaryRegion
RemoveRegionsFromReplication	授予权限以从复制中删除区域	Write	Secret*
RemoveRegionsFromReplication	授予权限以从复制中删除区域	Write		secretsmanager:SecretId secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key aws:ResourceTag/${TagKey} secretsmanager:SecretPrimaryRegion
ReplicateSecretToRegions	授予权限以将现有密钥转换为多区域密钥，然后开始将该密钥复制到新区域的列表中	Write	Secret*
ReplicateSecretToRegions	授予权限以将现有密钥转换为多区域密钥，然后开始将该密钥复制到新区域的列表中	Write		secretsmanager:SecretId secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key aws:ResourceTag/${TagKey} secretsmanager:SecretPrimaryRegion secretsmanager:AddReplicaRegions secretsmanager:ForceOverwriteReplicaSecret
RestoreSecret	授予取消删除密钥的权限	Write	Secret*
RestoreSecret	授予取消删除密钥的权限	Write		secretsmanager:SecretId secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key aws:ResourceTag/${TagKey} secretsmanager:SecretPrimaryRegion
RotateSecret	授予权限以启动轮换密钥	Write	Secret*
RotateSecret	授予权限以启动轮换密钥	Write		secretsmanager:SecretId secretsmanager:RotationLambdaARN secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key aws:ResourceTag/${TagKey} secretsmanager:SecretPrimaryRegion secretsmanager:ModifyRotationRules secretsmanager:RotateImmediately
StopReplicationToReplica	授予权限以从复制中删除密钥，并将该密钥提升为副本区域中的区域密钥	Write	Secret*
StopReplicationToReplica	授予权限以从复制中删除密钥，并将该密钥提升为副本区域中的区域密钥	Write		secretsmanager:SecretId secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key aws:ResourceTag/${TagKey} secretsmanager:SecretPrimaryRegion
TagResource	授予权限以将标签添加至密钥	Tagging	Secret*
TagResource	授予权限以将标签添加至密钥	Tagging		secretsmanager:SecretId aws:RequestTag/${TagKey} aws:TagKeys secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key aws:ResourceTag/${TagKey} secretsmanager:SecretPrimaryRegion
UntagResource	授予权限以从密钥中删除标签	Tagging	Secret*
UntagResource	授予权限以从密钥中删除标签	Tagging		secretsmanager:SecretId aws:TagKeys secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key aws:ResourceTag/${TagKey} secretsmanager:SecretPrimaryRegion
UpdateSecret	授予权限以使用新的元数据或新版本的加密数据更新密钥	Write	Secret*
UpdateSecret	授予权限以使用新的元数据或新版本的加密数据更新密钥	Write		secretsmanager:SecretId secretsmanager:Description secretsmanager:KmsKeyId secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key aws:ResourceTag/${TagKey} secretsmanager:SecretPrimaryRegion
UpdateSecretVersionStage	授予权限以将阶段从一个密钥移动到另一个密钥	Write	Secret*
UpdateSecretVersionStage	授予权限以将阶段从一个密钥移动到另一个密钥	Write		secretsmanager:SecretId secretsmanager:VersionStage secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key aws:ResourceTag/${TagKey} secretsmanager:SecretPrimaryRegion
ValidateResourcePolicy	授予权限以在附加策略之前验证资源策略	权限管理	Secret*
ValidateResourcePolicy	授予权限以在附加策略之前验证资源策略	权限管理		secretsmanager:SecretId secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key aws:ResourceTag/${TagKey} secretsmanager:SecretPrimaryRegion

Secrets Manager 资源

资源类型 ARN 条件键

资源类型	ARN	条件键
Secret	`arn:${Partition}:secretsmanager:${Region}:${Account}:secret:${SecretId}`	aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys secretsmanager:ResourceTag/tag-key secretsmanager:resource/AllowRotationLambdaArn

Secret

arn:${Partition}:secretsmanager:${Region}:${Account}:secret:${SecretId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

secretsmanager:ResourceTag/tag-key

secretsmanager:resource/AllowRotationLambdaArn

Secrets Manager 在密钥名称末尾附加破折号和 6 个随机字母数字字符以构建密钥 ARN 的最后一部分。如果删除一个密钥，然后重新创建另一个同名密钥，该格式有助于确保具有原始密钥权限的个人不会自动获得新密钥的访问权限，因为 Secrets Manager 生成 6 个新的随机字符。

您可以在Secrets Manager 控制台的密钥详细信息页面上或 DescribeSecret 找到密钥的 ARN。

条件键

如果您将下表中的字符串条件包含在权限策略中，则 Secrets Manager 的调用者必须传递匹配参数，否则他们将被拒绝访问。为了避免由于缺少参数而拒绝调用者，请将 IfExists 添加到条件运算符名称（例如 StringLikeIfExists）的末尾。有关更多信息，请参阅 IAM JSON 策略元素：条件运算符。

条件键	描述	类型
aws:RequestTag/${TagKey}	根据用户向 Secrets Manager 服务发出的请求中的键筛选访问权限	字符串
aws:ResourceTag/${TagKey}	按与资源关联的标签筛选访问权限	字符串
aws:TagKeys	根据用户向 Secrets Manager 服务发出的请求中存在的所有标签键名称的列表筛选访问权限	字符串数组
secretsmanager:AddReplicaRegions	按要复制密钥的区域列表筛选访问权限	字符串数组
secretsmanager:BlockPublicPolicy	根据资源策略是否阻止广泛的Amazon Web Services 账户访问来筛选访问权限	Bool
secretsmanager:Description	根据请求中的描述文本筛选访问权限	字符串
secretsmanager:ForceDeleteWithoutRecovery	按是否在没有任何恢复时段的情况下立即删除密钥以筛选访问权限	Bool
secretsmanager:ForceOverwriteReplicaSecret	根据是否覆盖目标区域中具有相同名称的密钥来筛选访问权限	Bool
secretsmanager:KmsKeyId	根据请求中的 KMS 密钥的 ARN 筛选访问权限	字符串
secretsmanager:ModifyRotationRules	按是否需要修改密钥轮换规则来筛选访问权限	Bool
secretsmanager:Name	根据请求中易于识别的密钥名称筛选访问权限	字符串
secretsmanager:RecoveryWindowInDays	按 Secrets Manager 在删除密钥之前可以等待的天数筛选访问权限	数值
secretsmanager:ResourceTag/tag-key	按标签键值对筛选访问	字符串
secretsmanager:RotateImmediately	按是否需要立即轮换密钥来筛选访问权限	Bool
secretsmanager:RotationLambdaARN	根据请求中轮换 Lambda 函数的 ARN 筛选访问权限	ARN
secretsmanager:SecretId	根据请求中的 SecretID 值筛选访问权限	ARN
secretsmanager:SecretPrimaryRegion	根据在其中创建密钥的主要区域筛选访问权限	字符串
secretsmanager:VersionId	根据请求中密钥版本的唯一标识符筛选访问权限	字符串
secretsmanager:VersionStage	根据请求中的版本阶段列表筛选访问权限	字符串
secretsmanager:resource/AllowRotationLambdaArn	根据与密钥关联的轮换 Lambda 函数的 ARN 筛选访问权限	ARN

使用 `BlockPublicPolicy` 条件阻止对密钥的广泛访问

在允许操作 PutResourcePolicy 的身份策略中，我们建议您使用 BlockPublicPolicy: true。这种情况意味着只有在策略不允许广泛访问的情况下，用户才能将资源策略附加到密钥。

Secrets Manager 使用 Zelkova 自动推理来分析资源策略，以确定是否存在宽泛访问权限问题。有关 Zelkova的更多信息，请参见 Amazon 安全博客上的 Amazon 如何使用自动化推理帮助您实现大规模的安保状况。

以下示例显示了如何使用 BlockPublicPolicy。


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "secretsmanager:PutResourcePolicy",
        "Resource": "SecretId",
        "Condition": {
            "Bool": {
                "secretsmanager:BlockPublicPolicy": "true"
            }
        }
    }
}

IP 地址条件

在允许或拒绝访问 Secrets Manager 的策略语句中指定 IP 地址条件运算符或 aws:SourceIp 条件键时，请务必小心。例如，如果您将一个策略附加到密钥，从而限制从公司网络 IP 地址范围中访问该密钥的 Amazon 操作，则以 IAM 用户身份从公司网络中调用的请求可以正常工作。但是，如果允许其他服务代表您访问密钥，例如，当您用 Lambda 函数启用轮换时，该函数将从 Amazon 内部地址空间调用 Secrets Manager 操作。受该策略影响并使用 IP 地址筛选器的请求将会失败。

此外，当请求来自 Amazon VPC 终端节点时，aws:sourceIP 条件键也不起作用。要限制对特定 VPC 终端节点的请求，请使用 VPC 终端节点条件。

VPC 终端节点条件

要允许或拒绝对来自特定 VPC 或 VPC 终端节点的请求的访问，请使用 aws:SourceVpc 来限制对来自指定 VPC 的请求的访问，或 aws:SourceVpce 来限制对来自指定 VPC 终端节点的请求的访问。请参阅示例：权限和 VPC。

aws:SourceVpc 将访问限制为来自指定 VPC 的请求。
aws:SourceVpce 将访问限制为来自指定 VPC 终端节点的请求。

如果在允许或拒绝访问 Secrets Manager 密钥的资源策略语句中使用这些条件键，可能会无意中拒绝访问代表您使用 Secrets Manager 访问密钥的服务。只有一部分 Amazon 服务可以使用 VPC 内的终端节点运行。如果将密钥的请求限制为 VPC 或 VPC 终端节点，则从未针对该服务配置的服务中调用 Secrets Manager 可能会失败。

请参阅使用 Amazon Secrets Manager VPC 终端节点。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

权限策略示例

创建和管理密钥