Determinación de quién tiene permisos para los secretos de AWS Secrets Manager - AWS Secrets Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Determinación de quién tiene permisos para los secretos de AWS Secrets Manager

De forma predeterminada, las identidades de IAM no tienen permiso para acceder a los secretos. Al autorizar el acceso a un secreto, Secrets Manager evalúa la política basada en los recursos adjunta al secreto y todas las políticas basadas en la identidad adjuntas al usuario o rol de IAM que hace la solicitud. Para ello, Secrets Manager utiliza un proceso similar al descrito en Cómo determinar si una solicitud se permite o se deniega en la Guía del usuario de IAM.

Cuando varias políticas son aplicables a una solicitud, Secrets Manager utiliza una jerarquía para controlar los permisos:

  1. Si una instrucción en cualquier política con un deny explícito coincide con la acción de solicitud y el recurso:

    El deny explícito anula todo lo demás y bloquea la acción.

  2. Si no hay deny explícito, sino una declaración con un allow explícito coincide con la acción de solicitud y el recurso:

    El allow explícito otorga a la acción en la solicitud acceso a los recursos de la instrucción.

    Si la identidad y el secreto están en dos cuentas diferentes, debe haber un allow tanto en la política de recursos para el secreto como en la política adjunta a la identidad, de lo contrario AWS deniega la solicitud. Para obtener más información, consulte Acceso entre cuentas.

  3. Si no hay ninguna instrucción con un allow explícito que coincida con la acción de solicitud y el recurso:

    AWS deniega la solicitud de forma predeterminada, que se denomina una negación implícita.

Ver la política basada en recursos de un secreto
Determinar quién tiene acceso a través de políticas basadas en identidades