Authentification et contrôle d'accès pour AWS Secrets Manager - AWS Secrets Manager

Authentification et contrôle d'accès pour AWS Secrets Manager

Secrets ManagerAWS Identity and Access Management(IAM)pour sécuriser l'accès aux secrets. IAM fournit une authentification et un contrôle d'accès. Authentification Vérifie l'identité des personnes qui émettent des demandes. Secrets Manager utilise un processus de connexion avec des mots de passe, des clés d'accès et des jetons d'authentification multi-facteurs (MFA) pour vérifier l'identité des utilisateurs. Consultez Connexion àAWS. Contrôle d'accès vérifie que seules les personnes autorisées peuvent effectuer des opérations sur AWS les ressources, telles que des secrets. Secrets Manager utilise des politiques pour définir qui a accès aux ressources, et quelles actions l'identité peut entreprendre sur ces ressources. Consultez Autorisations et stratégies dans IAM.

Vous pouvez utiliser Rôles Anywhere AWS Identity and Access Management pour obtenir des informations d'identification de sécurité temporaires dans IAM pour les charges de travail telles que les serveurs, les conteneurs et les applications qui s'exécutent en dehors de AWS. Vos charges de travail peuvent utiliser les mêmes politiques et rôles IAM que ceux que vous utilisez avec les applications AWS pour accéder aux ressources AWS. Avec Rôles Anywhere IAM, vous pouvez utiliser Secrets Manager pour stocker et gérer les informations d'identification auxquelles peuvent accéder les ressources dans AWS, ainsi que les appareils sur site tels que des serveurs d'applications. Pour plus d'informations, veuillez consulter le Guide de l'utilisateur Rôles Anywhere IAM.

Secrets Manager

Pour accorder des autorisations d'administrateur Secrets Manager, suivez les instructions dans Ajout et suppression d'autorisations d'identité IAMet joignez les politiques suivantes :

Il est déconseillé d'accorder des autorisations d'administrateur aux utilisateurs finaux. Bien que cela permet à vos utilisateurs de créer et de gérer leurs secrets, l'autorisation requise pour activer la rotation (IAMFullAccess) accorde des autorisations essentielles qui ne sont pas appropriées pour les utilisateurs finaux.

Autorisations d'accès aux secrets

Grâce aux stratégies d'autorisation IAM, vous pouvez vérifier quels utilisateurs ou services ont accès à vos secrets. Une stratégie d'autorisation décrit qui peut effectuer quelles actions sur quelles ressources. Vous pouvez :

Autorisations pour les fonctions de rotation Lambda

Secrets Manager utilise des AWS Lambda fonctions pour tourner les secrets. La fonction Lambda doit avoir accès au secret et à la base de données ou au service pour lequel le secret contient des informations d'identification. Consultez Autorisations de rotation.

Autorisations pour les clés de chiffrement

Secrets Manager utilise AWS Key Management Service (AWS KMS) des clés pour pour chiffrer les secrets. Le Clé gérée par AWS aws/secretsmanager dispose automatiquement des autorisations appropriées. Si vous utilisez une autre clé KMS, des autorisations sont requises par Secrets Manager pour cette dernière. Consultez Autorisations pour la clé KMS.