Claves de condición, recursos y acciones de AWS Secrets Manager - AWS Identity and Access Management

Claves de condición, recursos y acciones de AWS Secrets Manager

AWS Secrets Manager (prefijo de servicio: secretsmanager) proporciona las siguientes claves de contexto de condición, recursos y acciones específicas del servicio para usarlas en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS Secrets Manager

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
CancelRotateSecret Permite al usuario cancelar una rotación de secreto en curso. Escritura

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

CreateSecret Permite al usuario crear un secreto que almacena datos cifrados que se puede consultar y rotar. Etiquetado

secretsmanager:Name

secretsmanager:Description

secretsmanager:KmsKeyId

aws:RequestTag/tag-key

aws:TagKeys

secretsmanager:ResourceTag/tag-key

DeleteResourcePolicy Permite al usuario eliminar la política de recursos asociada a un secreto. Administración de permisos

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

DeleteSecret Permite al usuario eliminar un secreto. Escritura

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:RecoveryWindowInDays

secretsmanager:ForceDeleteWithoutRecovery

secretsmanager:ResourceTag/tag-key

DescribeSecret Permite al usuario recuperar los metadatos acerca de un secreto, pero no los datos cifrados. Lectura

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

GetRandomPassword Permite al usuario generar una cadena aleatoria para su uso en la creación de contraseñas. Lectura
GetResourcePolicy Permite al usuario obtener la política de recursos asociada a un secreto. Lectura

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

GetSecretValue Permite al usuario recuperar y descifrar los datos cifrados. Lectura

Secret*

secretsmanager:SecretId

secretsmanager:VersionId

secretsmanager:VersionStage

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

ListSecretVersionIds Permite al usuario enumerar las versiones disponibles de un secreto. Lectura

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

ListSecrets Permite al usuario enumerar los secretos disponibles. List
PutResourcePolicy Permite al usuario asociar una política de recursos a un secreto. Administración de permisos

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

PutSecretValue Permite al usuario crear una nueva versión del secreto con nuevos datos cifrados. Escritura

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

RestoreSecret Permite al usuario cancelar la eliminación de un secreto. Escritura

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

RotateSecret Permite al usuario comenzar la rotación de un secreto. Escritura

Secret*

secretsmanager:SecretId

secretsmanager:RotationLambdaARN

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

TagResource Permite al usuario añadir etiquetas a un secreto. Etiquetado

Secret*

secretsmanager:SecretId

aws:RequestTag/tag-key

aws:TagKeys

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

UntagResource Permite al usuario quitar etiquetas de un secreto. Etiquetado

Secret*

secretsmanager:SecretId

aws:TagKeys

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

UpdateSecret Permite al usuario actualizar un secreto con metadatos nuevos o con una nueva versión de los datos cifrados. Escritura

Secret*

secretsmanager:SecretId

secretsmanager:Description

secretsmanager:KmsKeyId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

UpdateSecretVersionStage Permite al usuario mover una fase de un secreto a otro. Escritura

Secret*

secretsmanager:SecretId

secretsmanager:VersionStage

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

Tipos de recurso definidos por AWS Secrets Manager

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Actions identifica los tipos de recurso que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso ARN Claves de condición
Secret arn:${Partition}:secretsmanager:${Region}:${Account}:secret:${SecretId}

aws:RequestTag/tag-key

aws:TagKeys

secretsmanager:ResourceTag/tag-key

secretsmanager:resource/AllowRotationLambdaArn

Claves de condición de AWS Secrets Manager

AWS Secrets Manager define las siguientes claves de condiciones que se puede utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles en la Referencia de políticas de IAM.

Claves de condición Descripción Tipo
aws:RequestTag/tag-key Filtra el acceso por una clave que está presente en la solicitud que el usuario realiza al servicio Secrets Manager. Cadena
aws:TagKeys Filtra el acceso por la lista de todos los nombres de clave de etiqueta presentes en la solicitud que el usuario realiza al servicio Secrets Manager. Cadena
secretsmanager:Description Filtra el acceso por el texto de descripción de la solicitud. Cadena
secretsmanager:ForceDeleteWithoutRecovery Filtra el acceso en función de si el secreto se debe eliminar de inmediato sin ventana de recuperación. Booleano
secretsmanager:KmsKeyId Filtra el acceso por el ARN de la clave de KMS de la solicitud. Cadena
secretsmanager:Name Filtra el acceso por el nombre fácil de recordar del secreto de la solicitud. Cadena
secretsmanager:RecoveryWindowInDays Filtra el acceso según el número de días que Secrets Manager espera antes de poder eliminar el secreto. Long
secretsmanager:ResourceTag/tag-key Filtra el acceso según un par de clave y valor de etiqueta. Cadena
secretsmanager:RotationLambdaARN Filtra el acceso por el ARN de la función de Lambda de rotación de la solicitud. ARN
secretsmanager:SecretId Filtra el acceso por el valor de SecretID de la solicitud. ARN
secretsmanager:VersionId Filtra el acceso por el identificador único de la versión del secreto de la solicitud. Cadena
secretsmanager:VersionStage Filtra el acceso por la lista de las fases de versión de la solicitud. Cadena
secretsmanager:resource/AllowRotationLambdaArn Filtra el acceso por el ARN de la función de Lambda de rotación asociada al secreto. ARN