Impedir la replicación en AWS Secrets Manager - AWS Secrets Manager

Impedir la replicación en AWS Secrets Manager

Como los secretos se pueden replicar utilizando ReplicateSecretToRegions o cuando se crean con CreateSecret, si quiere impedir que los usuarios repliquen los secretos, le recomendamos que evite las acciones que contengan el parámetro AddReplicaRegions. Puede usar una declaración Condition en sus políticas de permisos para permitir solo las acciones que no agreguen regiones de réplica. Consulte los siguientes ejemplos de políticas para ver las declaraciones de condiciones que puede utilizar.

ejemplo Impedir el permiso de replicación

El siguiente ejemplo de política muestra cómo permitir todas las acciones que no agreguen regiones de réplica. Esto impide que los usuarios repliquen los secretos mediante ReplicateSecretToRegions y CreateSecret.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:*",
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:AddReplicaRegions": "true"
        }
      }
    }
  ]
}
ejemplo Habilite el permiso de replicación solo en regiones específicas

En la siguiente política, se muestra cómo permitir todas las operaciones siguientes:

  • Crear secretos sin replicación

  • Crear secretos replicándolos solo en regiones de Estados Unidos y Canadá

  • Replicar secretos solo en regiones de Estados Unidos y Canadá 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:ReplicateSecretToRegions"
      ],
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringLike": {
          "secretsmanager:AddReplicaRegions": [
            "us-*",
            "ca-*"
          ]
        }
      }
    }
  ]
}