Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Determinación de quién tiene permisos para los secretos de AWS Secrets Manager
De forma predeterminada, las identidades de IAM no tienen permiso para acceder a los secretos. Al autorizar el acceso a un secreto, Secrets Manager evalúa la política basada en los recursos adjunta al secreto y todas las políticas basadas en la identidad adjuntas al usuario o rol de IAM que hace la solicitud. Para ello, Secrets Manager utiliza un proceso similar al descrito en Cómo determinar si una solicitud se permite o se deniega en la Guía del usuario de IAM.
Cuando varias políticas son aplicables a una solicitud, Secrets Manager utiliza una jerarquía para controlar los permisos:
-
Si una instrucción en cualquier política con un
deny
explícito coincide con la acción de solicitud y el recurso:El
deny
explícito anula todo lo demás y bloquea la acción. -
Si no hay
deny
explícito, sino una declaración con unallow
explícito coincide con la acción de solicitud y el recurso:El
allow
explícito otorga a la acción en la solicitud acceso a los recursos de la instrucción.Si la identidad y el secreto están en dos cuentas diferentes, debe haber un
allow
tanto en la política de recursos para el secreto como en la política adjunta a la identidad, de lo contrario AWS deniega la solicitud. Para obtener más información, consulte Acceso entre cuentas. -
Si no hay ninguna instrucción con un
allow
explícito que coincida con la acción de solicitud y el recurso:AWS deniega la solicitud de forma predeterminada, que se denomina una negación implícita.
Ver la política basada en recursos de un secreto
-
Haga una de las siguientes acciones:
-
Abra la consola de Secrets Manager en https://console.aws.amazon.com/secretsmanager/
. En la página de detalles del secreto del suyo, en la sección Resource permissions (Permisos de recursos), elija Edit permissions (Editar los permisos). -
Utilice la AWS CLI para llamar a
get-resource-policy
, o bien AWS SDK para llamar aGetResourcePolicy
.
-
Determinar quién tiene acceso a través de políticas basadas en identidades
-
Utilice el simulador de políticas de IAM. Consulte Probar las políticas de IAM con el simulador de políticas de IAM.