Zuordnen einer Berechtigungsrichtlinie zu einem AWS Secrets Manager -Secret - AWS Secrets Manager
AWS CLIAWS SDK

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zuordnen einer Berechtigungsrichtlinie zu einem AWS Secrets Manager -Secret

Bei einer ressourcenbasierten Richtlinie geben Sie an, wer auf Secrets zugreifen darf und welche Aktionen die Identität für die Secrets ausführen darf. Sie können ressourcenbasierte Richtlinien für Folgendes verwenden:

  • Gewähren Sie Zugriff auf ein einzelnes Secret für mehrere Benutzer und Rollen.

  • Gewähren Sie Benutzern oder Rollen in anderen AWS Konten Zugriff.

Siehe Beispiele für Berechtigungsrichtlinien für AWS Secrets Manager.

Wenn Sie eine ressourcenbasierte Richtlinie zu einem Secret in der Konsole zuordnen, verwendet Secrets Manager die Automated-Reasoning-Engine Zelkova und die API ValidateResourcePolicy, um zu verhindern, dass Sie einer breiten Palette von IAM-Prinzipalen Zugriff auf Ihre Secrets gewähren. Alternativ können Sie auch die PutResourcePolicy-API mit dem BlockPublicPolicy-Parameter von der CLI oder dem SDK aus aufrufen.

Wichtig

Die Überprüfung der Ressourcenrichtlinien und der BlockPublicPolicy Parameter tragen zum Schutz Ihrer Ressourcen bei, indem verhindert wird, dass der öffentliche Zugriff über die Ressourcenrichtlinien gewährt wird, die direkt mit Ihren Geheimnissen verknüpft sind. Zusätzlich zur Nutzung dieser Funktionen sollten Sie die folgenden Richtlinien sorgfältig prüfen, um sicherzustellen, dass sie keinen öffentlichen Zugriff gewähren:

  • Identitätsbasierte Richtlinien, die mit zugehörigen AWS Principals verknüpft sind (z. B. IAM-Rollen)

  • Ressourcenbasierte Richtlinien, die mit zugehörigen AWS Ressourcen verknüpft sind (z. B. () -Schlüssel) AWS Key Management Service AWS KMS

Informationen zu den Zugriffsberechtigungen für Ihre geheimen Daten finden Sie unter. Bestimmen, wer Berechtigungen für Ihre -Secrets hat

Die Ressourcenrichtlinie für ein Secret anzeigen, ändern oder löschen (Konsole)

  1. Öffnen Sie die Secrets-Manager-Konsole unter https://console.aws.amazon.com/secretsmanager/.

  2. Wählen Sie aus der Liste der Secrets Ihr Secret aus.

  3. Wählen Sie auf der Seite zu den Secret-Details auf der Registerkarte Übersicht im Abschnitt Ressourcenberechtigungen die Option Berechtigungen bearbeiten aus.

  4. Führen Sie einen der folgenden Schritte im Codefeld aus und wählen Sie dann die Option Save (Speichern):

    • Um eine Ressourcenrichtlinie anzuhängen oder zu ändern, geben Sie die Richtlinie ein.

    • Um die Richtlinie zu löschen, löschen Sie den Inhalt des Codefelds.

AWS CLI

Beispiel Eine Ressourcenrichtlinie abrufen

Im folgenden get-resource-policy-Beispiel wird die an ein Secret angefügte ressourcenbasierte Richtlinie abgerufen.

aws secretsmanager get-resource-policy \
    --secret-id MyTestSecret
Beispiel Eine Ressourcenrichtlinie löschen

Im folgenden delete-resource-policy-Beispiel wird die an ein Secret angefügte ressourcenbasierte Richtlinie gelöscht.

aws secretsmanager delete-resource-policy \
    --secret-id MyTestSecret
Beispiel Eine Ressourcenrichtlinie hinzufügen

Im folgenden put-resource-policy-Beispiel wird einem Secret eine Berechtigungsrichtlinie hinzugefügt, wobei zunächst geprüft wird, ob die Richtlinie keinen umfassenden Zugriff auf das Secret gewährt. Die Richtlinie wird aus einer Datei gelesen. Weitere Informationen finden Sie im AWS CLI Benutzerhandbuch unter Laden von AWS CLI Parametern aus einer Datei.

aws secretsmanager put-resource-policy \
    --secret-id MyTestSecret \
    --resource-policy file://mypolicy.json \
    --block-public-policy

Inhalt von mypolicy.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/MyRole"
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*"
        }
    ]
}

AWS SDK

Um die Richtlinie abzurufen, die dem Secret zugeordnet ist, verwenden Sie GetResourcePolicy.

Um die Richtlinie zu löschen, die dem Secret zugeordnet ist, verwenden Sie DeleteResourcePolicy.

Um eine Richtlinie zu einem Secret hinzuzufügen, verwenden Sie PutResourcePolicy. Wenn bereits eine Richtlinie angefügt ist, ersetzt der Befehl sie durch die neue Richtlinie. Die Richtlinie muss als JSON-strukturierter Text formatiert sein. Weitere Informationen finden Sie unter JSON policy document structure (JSON-Richtliniendokumentstruktur). Verwenden Sie Beispiele für Berechtigungsrichtlinien für AWS Secrets Manager, um mit dem Schreiben Ihrer Richtlinie zu beginnen.

Weitere Informationen finden Sie unter AWS SDKs.