防止 Amazon Secrets Manager 复制 - Amazon Secrets Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

防止 Amazon Secrets Manager 复制

由于密钥可以使用ReplicateSecretToRegions或在使用创建时复制 CreateSecret,因此如果您想防止用户复制密钥,我们建议您阻止包含AddReplicaRegions参数的操作。您可以在权限策略中使用Condition声明,仅允许不添加副本区域的操作。有关您可以使用的条件声明,请参阅以下策略示例。

例 阻止复制权限

以下策略示例显示如何允许所有不添加副本区域的操作。这可以防止用户同时通过ReplicateSecretToRegionsCreateSecret复制密钥。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:*",
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:AddReplicaRegions": "true"
        }
      }
    }
  ]
}
例 仅允许向特定区域提供复制权限

以下策略显示了如何允许以下所有内容:

  • 无需复制即可创建密钥

  • 通过复制到仅位于美国和加拿大的区域来创建密钥

  • 仅将密钥复制到美国和加拿大的区域 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:ReplicateSecretToRegions"
      ],
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringLike": {
          "secretsmanager:AddReplicaRegions": [
            "us-*",
            "ca-*"
          ]
        }
      }
    }
  ]
}