Otentikasi dan kontrol akses untuk AWS Secrets Manager - AWS Secrets Manager
Izin administrator Secrets ManagerIzin untuk mengakses rahasiaIzin untuk fungsi rotasi LambdaIzin untuk kunci enkripsiIzin untuk replikasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Otentikasi dan kontrol akses untuk AWS Secrets Manager

Secrets Manager menggunakan AWS Identity and Access Management (IAM) untuk mengamankan akses ke rahasia. IAM menyediakan otentikasi dan kontrol akses. Otentikasi memverifikasi identitas permintaan individu. Secrets Manager menggunakan proses masuk dengan kata sandi, kunci akses, dan token otentikasi multi-faktor (MFA) untuk memverifikasi identitas pengguna. Lihat Masuk ke AWS. Kontrol akses memastikan bahwa hanya individu yang disetujui yang dapat melakukan operasi pada AWS sumber daya seperti rahasia. Secrets Manager menggunakan kebijakan untuk menentukan siapa yang memiliki akses ke sumber daya mana, dan tindakan apa yang dapat diambil identitas terhadap sumber daya tersebut. Lihat Kebijakan dan izin di IAM.

Izin administrator Secrets Manager

Untuk memberikan izin administrator Secrets Manager, ikuti petunjuk di Menambahkan dan menghapus izin identitas IAM, dan lampirkan kebijakan berikut:

Kami menyarankan Anda untuk tidak memberikan izin administrator kepada pengguna akhir. Meskipun hal ini memungkinkan pengguna Anda untuk membuat dan mengelola rahasia mereka, izin yang diperlukan untuk mengaktifkan rotation (IAMFullAccess) memberikan izin signifikan yang tidak sesuai untuk pengguna akhir.

Izin untuk mengakses rahasia

Dengan menggunakan kebijakan izin IAM, Anda mengontrol pengguna atau layanan mana yang memiliki akses ke rahasia Anda. Kebijakan izin menjelaskan siapa yang dapat melakukan tindakan apa pada sumber daya mana. Anda dapat:

Izin untuk fungsi rotasi Lambda

Secrets Manager menggunakan AWS Lambda fungsi untuk memutar rahasia. Fungsi Lambda harus memiliki akses ke rahasia serta database atau layanan yang rahasia berisi kredensialnya. Lihat Izin untuk rotasi.

Izin untuk kunci enkripsi

Secrets Manager menggunakan AWS Key Management Service (AWS KMS) kunci untuk mengenkripsi rahasia. Kunci yang dikelola AWS aws/secretsmanagerSecara otomatis memiliki izin yang benar. Jika Anda menggunakan kunci KMS yang berbeda, Secrets Manager memerlukan izin untuk kunci tersebut. Lihat Izin untuk kunci KMS.

Izin untuk replikasi

Dengan menggunakan kebijakan izin IAM, Anda mengontrol pengguna atau layanan mana yang dapat mereplikasi rahasia Anda ke Wilayah lain. Lihat Mencegah AWS Secrets Manager replikasi.