AWS politique gérée pour AWS Secrets Manager - AWS Secrets Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politique gérée pour AWS Secrets Manager

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou que de nouvelles API opérations sont disponibles pour les services existants.

Pour plus d'informations, consultez la section Politiques AWS gérées dans le Guide de IAM l'utilisateur.

AWS politique gérée : SecretsManagerReadWrite

Cette politique fournit un accès en lecture/écriture aux ressources Amazon AWS Secrets Manager, Amazon Redshift et Amazon DocumentDBRDS, y compris l'autorisation de les décrire, ainsi que l'autorisation de les AWS KMS utiliser pour chiffrer et déchiffrer des secrets. Cette politique autorise également la création d'ensembles de AWS CloudFormation modifications, l'obtention de modèles de rotation à partir d'un compartiment Amazon S3 géré par AWS, la liste des AWS Lambda fonctions et la description d'Amazon EC2VPCs. Ces autorisations sont requises par la console pour configurer la rotation avec les fonctions de rotation existantes.

Pour créer de nouvelles fonctions de rotation, vous devez également être autorisé à créer des AWS CloudFormation piles et des rôles AWS Lambda d'exécution. Vous pouvez attribuer la politique IAMFullAccessgérée. Consultez Autorisations de rotation.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • secretsmanager : permet aux principaux d'effectuer toutes les actions de Secrets Manager.

  • cloudformation— Permet aux principaux de créer des AWS CloudFormation piles. Cela est nécessaire pour que les directeurs utilisant la console pour activer la rotation puissent créer des fonctions AWS CloudFormation de rotation Lambda par le biais de piles. Pour de plus amples informations, veuillez consulter Comment Secrets Manager utilise AWS CloudFormation.

  • ec2— Permet aux directeurs de décrire Amazon EC2VPCs. Cela est nécessaire pour que les principaux utilisant la console puissent créer des fonctions de rotation au même VPC titre que la base de données contenant les informations d'identification qu'ils stockent dans un secret.

  • kms— Permet aux principaux d'utiliser des AWS KMS clés pour les opérations cryptographiques. Cela est nécessaire pour que Secrets Manager puisse chiffrer et déchiffrer les secrets. Pour de plus amples informations, veuillez consulter Chiffrement et déchiffrement secrets dans AWS Secrets Manager.

  • lambda : permet aux principaux de répertorier les fonctions de rotation Lambda. Cela est nécessaire pour que les principaux utilisateurs de la console puissent choisir les fonctions de rotation existantes.

  • rds— Permet aux principaux de décrire les clusters et les instances sur AmazonRDS. Cela est nécessaire pour que les principaux utilisant la console puissent choisir des RDS clusters ou des instances Amazon.

  • redshift : permet aux principaux de décrire les clusters dans Amazon Redshift. Cela est nécessaire pour que les principaux utilisateurs de la console puissent choisir des clusters Amazon Redshift.

  • redshift-serverless— Permet aux principaux de décrire les espaces de noms dans Amazon Redshift Serverless. Cela est nécessaire pour que les principaux utilisant la console puissent choisir les espaces de noms Amazon Redshift Serverless.

  • docdb-elastic : permet aux principaux de décrire les clusters élastiques dans Amazon DocumentDB. Cela est nécessaire pour que les principaux utilisateurs de la console puissent choisir les clusters élastiques Amazon DocumentDB.

  • tag : permet aux principaux d'accéder à toutes les ressources du compte qui sont étiquetées.

  • serverlessrepo— Permet aux directeurs de créer des ensembles de AWS CloudFormation modifications. Cela est nécessaire pour que les principaux utilisateurs de la console puissent créer des fonctions de rotation Lambda. Pour de plus amples informations, veuillez consulter Comment Secrets Manager utilise AWS CloudFormation.

  • s3— Permet aux principaux d'obtenir des objets depuis un compartiment Amazon S3 géré par AWS. Ce compartiment contient Modèles de fonctions de rotation Lambda. Cette autorisation est requise pour que les principaux utilisateurs de la console puissent créer des fonctions de rotation Lambda basées sur les modèles du compartiment. Pour de plus amples informations, veuillez consulter Comment Secrets Manager utilise AWS CloudFormation.

Pour consulter la politique, consultez le document SecretsManagerReadWrite JSON de politique.

Mises à jour des politiques AWS gérées par Secrets Manager

Consultez les détails des mises à jour des politiques AWS gérées pour Secrets Manager.

Modification Description Date Version

SecretsManagerReadWrite – Mise à jour d’une politique existante

Cette politique a été mise à jour pour autoriser la description de l'accès à Amazon Redshift Serverless afin que les utilisateurs de la console puissent choisir un espace de noms Amazon Redshift Serverless lorsqu'ils créent un secret Amazon Redshift.

12 mars 2024

v5

SecretsManagerReadWrite – Mise à jour d’une politique existante

Cette politique a été mise à jour pour autoriser la description de l'accès aux clusters élastiques Amazon DocumentDB afin que les utilisateurs de la console puissent choisir un cluster élastique lorsqu'ils créent un secret Amazon DocumentDB.

12 septembre 2023

v4

SecretsManagerReadWrite – Mise à jour d’une politique existante

Cette politique a été mise à jour pour autoriser la description de l'accès à Amazon Redshift afin que les utilisateurs de la console puissent choisir un cluster Amazon Redshift lorsqu'ils créent un secret Amazon Redshift. La mise à jour a également ajouté de nouvelles autorisations pour autoriser l'accès en lecture à un compartiment Amazon S3 géré par AWS lequel sont stockés les modèles de fonctions de rotation Lambda.

24 juin 2020

v3

SecretsManagerReadWrite – Mise à jour d’une politique existante

Cette politique a été mise à jour pour autoriser la description de l'accès aux RDS clusters Amazon afin que les utilisateurs de la console puissent choisir un cluster lorsqu'ils créent un RDS secret Amazon.

3 mai 2018

v2

SecretsManagerReadWrite – Nouvelle politique

Secrets Manager a créé une politique pour accorder les autorisations nécessaires à l'utilisation de la console avec tous les accès en lecture/écriture à Secrets Manager.

04 avril 2018

v1