IAMesempi di policy relative ai segreti in AWS Secrets Manager

Durante la configurazione, si crea una IAM politica da assegnare a AWS Elemental MediaPackage. Questa politica consente AWS Elemental MediaPackage leggere i segreti che hai archiviato AWS Secrets Manager. Le impostazioni di questa politica sono interamente a tua discrezione. La politica può variare dalla più restrittiva (che consente l'accesso solo a segreti specifici) alla meno restrittiva (che consente l'accesso a qualsiasi segreto creato utilizzando questa AWS conto). Come best practice, è consigliabile utilizzare la policy più restrittiva. Tuttavia, negli esempi in questa sezione viene illustrato come impostare policy con diversi livelli di restrizione. Perché AWS Elemental MediaPackage necessita solo dell'accesso in lettura ai segreti, tutti gli esempi in questa sezione mostrano solo le azioni necessarie per leggere i valori che memorizzi.

Consenti l'accesso in lettura a segreti specifici in AWS Secrets Manager

La seguente IAM politica consente l'accesso in lettura a risorse specifiche (segreti) create in AWS Secrets Manager.

{
              "Version": "2012-10-17",
              "Statement": [
                {
                  "Effect": "Allow",
                  "Action": [
                    "secretsmanager:GetResourcePolicy",
                    "secretsmanager:GetSecretValue",
                    "secretsmanager:DescribeSecret",
                    "secretsmanager:ListSecretVersionIds"
                  ],
                  "Resource": [
                    "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes128-1a2b3c",
                    "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes192-4D5e6F",
                    "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes256-7g8H9i"
                  ]
                }
              ]
            }

Consenti l'accesso in lettura a tutti i segreti creati in una regione specifica in AWS Secrets Manager

La seguente IAM politica consente l'accesso in lettura a tutti i segreti creati in una specifica AWS Regione in AWS Secrets Manager. Questa politica si applica alle risorse che hai già creato e a tutte le risorse che creerai in futuro nella regione specificata.

{
              "Version": "2012-10-17",
              "Statement": [
                {
                  "Effect": "Allow",
                  "Action": [
                    "secretsmanager:GetResourcePolicy",
                    "secretsmanager:GetSecretValue",
                    "secretsmanager:DescribeSecret",
                    "secretsmanager:ListSecretVersionIds"
                  ],
                  "Resource": [
                    "arn:aws:secretsmanager:us-west-2:111122223333:secret:*"
                  ]
                }
              ]
            }

Consenti l'accesso in lettura a tutte le risorse in AWS Secrets Manager

La seguente IAM politica consente l'accesso in lettura a tutte le risorse create in AWS Secrets Manager. Questa politica si applica alle risorse che hai già creato e a tutte le risorse che creerai in futuro.

{
              "Version": "2012-10-17",
              "Statement": [
                {
                  "Effect": "Allow",
                  "Action": [
                    "secretsmanager:GetResourcePolicy",
                    "secretsmanager:GetSecretValue",
                    "secretsmanager:DescribeSecret",
                    "secretsmanager:ListSecretVersionIds"
                  ],
                  "Resource": ["*"]
                }
              ]
            }