Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Empêcher AWS Secrets Manager la réplication
Étant donné que les secrets peuvent être répliqués à l'aide de ReplicateSecretToRegionsou lorsqu'ils sont créés à l'aide de ceux-ci CreateSecret, si vous souhaitez empêcher les utilisateurs de répliquer des secrets, nous vous recommandons d'empêcher les actions contenant le AddReplicaRegions paramètre. Vous pouvez utiliser une Condition déclaration dans vos politiques d'autorisation pour autoriser uniquement les actions qui n'ajoutent pas de zones de réplication. Consultez les exemples de politique suivants pour les déclarations de condition que vous pouvez utiliser.
Exemple Empêcher l'autorisation de réplication
L'exemple de politique suivant montre comment autoriser toutes les actions qui n'ajoutent pas de régions de réplication. Cela empêche les utilisateurs de répliquer des secrets par le biais de ReplicateSecretToRegions etCreateSecret.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:*", "Resource": "*", "Condition": { "Null": { "secretsmanager:AddReplicaRegions": "true" } } } ] }
Exemple Autoriser la réplication uniquement pour des régions spécifiques
La politique suivante indique comment autoriser tous les éléments suivants :
Créez des secrets sans réplication
Créez des secrets en les répliquant dans des régions situées uniquement aux États-Unis et au Canada
Répliquez les secrets dans les régions des États-Unis et du Canada uniquement
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:ReplicateSecretToRegions" ], "Resource": "*", "Condition": { "ForAllValues:StringLike": { "secretsmanager:AddReplicaRegions": [ "us-*", "ca-*" ] } } } ] }
