Mencegah AWS Secrets Manager replikasi

Karena rahasia dapat direplikasi menggunakan ReplicateSecretToRegionsatau ketika mereka dibuat menggunakan CreateSecret, jika Anda ingin mencegah pengguna mereplikasi rahasia, kami sarankan Anda mencegah tindakan yang berisi parameter. AddReplicaRegions Anda dapat menggunakan Condition pernyataan dalam kebijakan izin untuk hanya mengizinkan tindakan yang tidak menambahkan wilayah replika. Lihat contoh kebijakan berikut untuk pernyataan Kondisi yang dapat Anda gunakan.

contoh Mencegah izin replikasi

Contoh kebijakan berikut menunjukkan cara mengizinkan semua tindakan yang tidak menambahkan wilayah replika. Ini mencegah pengguna mereplikasi rahasia melalui keduanya ReplicateSecretToRegions danCreateSecret.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:*",
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:AddReplicaRegions": "true"
        }
      }
    }
  ]
}

contoh Izinkan izin replikasi hanya untuk Wilayah tertentu

Kebijakan berikut menunjukkan cara mengizinkan semua hal berikut:

Buat rahasia tanpa replikasi
Buat rahasia dengan replikasi ke Wilayah hanya di Amerika Serikat dan Kanada
Replikasi rahasia ke Wilayah hanya di Amerika Serikat dan Kanada


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:ReplicateSecretToRegions"
      ],
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringLike": {
          "secretsmanager:AddReplicaRegions": [
            "us-*",
            "ca-*"
          ]
        }
      }
    }
  ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Promosikan rahasia replika ke rahasia mandiri

Pecahkan masalah replikasi