Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Adición de una política de permisos a un secreto de AWS Secrets Manager
En una política basada en recursos, usted especifica quién puede obtener acceso al secreto y las acciones que puede realizar en él. Puede utilizar políticas basadas en recursos para:
-
Conceder acceso a un solo secreto a varios usuarios o roles.
-
Conceda acceso a usuarios o roles en otras AWS cuentas.
Consulte Ejemplos de políticas de permisos para AWS Secrets Manager.
Al adjuntar una política basada en recursos a un secreto en la consola, Secrets Manager utiliza el motor de razonamiento automatizado ZelkovaValidateResourcePolicy para evitar que pueda conceder a una amplia gama de principales de IAM acceso a sus secretos. También puede llamar a la API de PutResourcePolicy con el parámetro BlockPublicPolicy desde la CLI o el SDK.
importante
La validación de la política de recursos y el BlockPublicPolicy parámetro ayudan a proteger tus recursos al impedir que se conceda el acceso público a través de las políticas de recursos que están directamente asociadas a tus secretos. Además de utilizar estas funciones, inspeccione detenidamente las siguientes políticas para confirmar que no conceden acceso público:
Políticas basadas en la identidad asociadas a los AWS directores asociados (por ejemplo, las funciones de IAM)
Políticas basadas en recursos asociadas a los AWS recursos asociados (por ejemplo, claves ()) AWS Key Management Service AWS KMS
Para revisar los permisos de sus datos secretos, consulte. Determinación de quién tiene permisos para los secretos de
Ver, cambiar o eliminar la política de recursos de un secreto (consola)
Abra la consola de Secrets Manager en https://console.aws.amazon.com/secretsmanager/
. En la lista de secretos, elija el secreto.
-
En la página de detalles secretos, en la pestaña Descripción general, en la sección Permisos de recursos, seleccione Editar permisos.
-
En el campo de código, realice una de las siguientes operaciones y, a continuación, elija Save (Guardar):
-
Para adjuntar o modificar una política de recursos, ingrese la política.
-
Para eliminar la política, limpie el campo de código.
-
AWS CLI
ejemplo Recuperar una política de recursos
En el siguiente ejemplo de get-resource-policy se recupera la política basada en recursos asociada a un secreto.
aws secretsmanager get-resource-policy \ --secret-id MyTestSecret
ejemplo Eliminar una política de recursos
En el siguiente ejemplo de delete-resource-policy se elimina la política basada en recursos asociada a un secreto.
aws secretsmanager delete-resource-policy \ --secret-id MyTestSecret
ejemplo Agregar una política de recursos
En el siguiente ejemplo de put-resource-policy se agrega una política de permisos a un secreto, pero primero se comprueba que la política no proporciona un acceso amplio al secreto. La política se lee desde un archivo. Para obtener más información, consulte Carga de AWS CLI parámetros desde un archivo en la Guía del AWS CLI usuario.
aws secretsmanager put-resource-policy \ --secret-id MyTestSecret \ --resource-policy file://mypolicy.json \ --block-public-policy
Contenido de mypolicy.json:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/MyRole" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] }
AWS SDK
Para recuperar la política adjunta a un secreto, utilice GetResourcePolicy.
Para eliminar una política asociada a un secreto, utilice DeleteResourcePolicy.
Para adjuntar una política a un secreto, utilice PutResourcePolicy. Si ya hay una política adjunta, el comando la reemplaza por la nueva política. La política deben tener un formato como texto estructurado JSON. Consulte Estructura del documento de política JSON. Usar Ejemplos de políticas de permisos para AWS Secrets Manager para empezar a escribir su política.
Para obtener más información, consulte AWS SDK.
