Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Lampirkan kebijakan izin ke rahasia AWS Secrets Manager
Dalam kebijakan berbasis sumber daya, Anda menentukan siapa yang dapat mengakses rahasia dan tindakan yang dapat mereka lakukan pada rahasia tersebut. Anda dapat menggunakan kebijakan berbasis sumber daya untuk:
-
Berikan akses ke satu rahasia ke beberapa pengguna dan peran.
-
Berikan akses ke pengguna atau peran di AWS akun lain.
Lihat Contoh kebijakan izin untuk AWS Secrets Manager.
Saat Anda melampirkan kebijakan berbasis sumber daya ke rahasia di konsol, Secrets Manager menggunakan mesin penalaran otomatis ZelkovaValidateResourcePolicy untuk mencegah Anda memberikan berbagai kepala sekolah IAM akses ke rahasia Anda. Atau, Anda dapat memanggil PutResourcePolicy API dengan BlockPublicPolicy parameter dari CLI atau SDK.
penting
Validasi kebijakan sumber daya dan BlockPublicPolicy parameter membantu melindungi sumber daya Anda dengan mencegah akses publik diberikan melalui kebijakan sumber daya yang secara langsung melekat pada rahasia Anda. Selain menggunakan fitur-fitur ini, periksa dengan cermat kebijakan berikut untuk mengonfirmasi bahwa mereka tidak memberikan akses publik:
Kebijakan berbasis identitas yang dilampirkan pada AWS prinsipal terkait (misalnya, peran IAM)
Kebijakan berbasis sumber daya yang dilampirkan pada AWS sumber daya terkait (misalnya, AWS Key Management Service () kunci)AWS KMS
Untuk meninjau izin ke rahasia Anda, lihatTentukan siapa yang memiliki izin untuk rahasia Anda.
Untuk melihat, mengubah, atau menghapus kebijakan sumber daya untuk rahasia (konsol)
Buka konsol Secrets Manager di https://console.aws.amazon.com/secretsmanager/
. Dari daftar rahasia, pilih rahasia Anda.
-
Pada halaman detail rahasia, pada tab Ikhtisar, di bagian Izin sumber daya, pilih Edit izin.
-
Di bidang kode, lakukan salah satu hal berikut, lalu pilih Simpan:
-
Untuk melampirkan atau mengubah kebijakan sumber daya, masukkan kebijakan.
-
Untuk menghapus kebijakan, kosongkan bidang kode.
-
AWS CLI
contoh Mengambil kebijakan sumber daya
get-resource-policyContoh berikut mengambil kebijakan berbasis sumber daya yang dilampirkan pada rahasia.
aws secretsmanager get-resource-policy \ --secret-id MyTestSecret
contoh Menghapus kebijakan sumber daya
delete-resource-policyContoh berikut menghapus kebijakan berbasis sumber daya yang dilampirkan pada rahasia.
aws secretsmanager delete-resource-policy \ --secret-id MyTestSecret
contoh Menambahkan kebijakan sumber daya
put-resource-policyContoh berikut menambahkan kebijakan izin ke rahasia, memeriksa terlebih dahulu bahwa kebijakan tersebut tidak menyediakan akses luas ke rahasia tersebut. Kebijakan dibaca dari file. Untuk informasi selengkapnya, lihat Memuat AWS CLI parameter dari file di Panduan AWS CLI Pengguna.
aws secretsmanager put-resource-policy \ --secret-id MyTestSecret \ --resource-policy file://mypolicy.json \ --block-public-policy
Isi dari mypolicy.json:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/MyRole" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] }
AWS SDK
Untuk mengambil kebijakan yang dilampirkan pada rahasia, gunakan GetResourcePolicy.
Untuk menghapus kebijakan yang dilampirkan pada rahasia, gunakan DeleteResourcePolicy.
Untuk melampirkan kebijakan ke rahasia, gunakan PutResourcePolicy. Jika sudah ada kebijakan yang dilampirkan, perintah menggantinya dengan kebijakan baru. Kebijakan harus diformat sebagai teks terstruktur JSON. Lihat Struktur dokumen kebijakan JSON. Gunakan Contoh kebijakan izin untuk AWS Secrets Manager untuk mulai menulis kebijakan Anda.
Untuk informasi selengkapnya, lihat AWS SDKs.
