AWS の管理ポリシー AWS Secrets Manager

AWS 管理ポリシーは、によって作成および管理されるスタンドアロンのポリシーです。 AWS AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス権限を割り当てることができるように、多くの一般的な使用事例にアクセス許可を与えるように設計されています。

AWS 管理ポリシーでは、 AWS すべての顧客が使用できるようになっているため、特定のユースケースでは最小権限のアクセス権限が付与されない場合があることに注意してください。ユースケースに固有の カスタマーマネージドポリシーを定義して、許可をさらに減らすことをお勧めします。

AWS 管理ポリシーで定義されている権限は変更できません。 AWS 管理ポリシーで定義されている権限を更新すると AWS 、その更新はポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS AWS 管理ポリシーが更新される可能性が最も高いのは、新しい API 操作が既存のサービスで開始されたときや、新しい API AWS のサービス 操作が使用可能になったときです。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS 管理ポリシー: SecretsManagerReadWrite

このポリシーは、Amazon RDS、Amazon Redshift AWS Secrets Manager、Amazon DocumentDB リソースへの読み取り/書き込みアクセスを提供します。これには、Amazon RDS、Amazon Redshift、Amazon DocumentDB リソースを記述する権限、 AWS KMS およびシークレットの暗号化と復号化に使用するアクセス権限が含まれます。このポリシーでは、 AWS CloudFormation 変更セットを作成したり、が管理する Amazon S3 バケットからローテーションテンプレートを取得したり、 AWS Lambda 関数を一覧表示したり AWS、Amazon EC2 VPC を記述したりする権限も付与されます。これらのアクセス許可は、コンソールが既存のローテーション機能を使用してローテーションを設定するために必要です。

新しいローテーション関数を作成するには、 AWS CloudFormation AWS Lambda スタックと実行ロールを作成する権限も必要です。IAM FullAccess 管理ポリシーを割り当てることができます。ローテーションへのアクセス許可 を参照してください。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

• secretsmanager – プリンシパルに Secrets Manager の全アクションの実行を許可します。

• cloudformation— AWS CloudFormation プリンシパルがスタックを作成できるようにします。これは、コンソールを使用してローテーションをオンにするプリンシパルがスタックを通じて Lambda ローテーション関数を作成できるようにするために必要です。 AWS CloudFormation 詳細については、「Secrets Manager が AWS CloudFormation を使用する方法」を参照してください。

• ec2 – プリンシパルに Amazon EC2 VPC の記述を許可します。これは、コンソールを使用するプリンシパルが、シークレットに保存している認証情報のデータベースと同じ VPC 内に、ローテーション関数を作成できるようにするために必要です。

• kms— AWS KMS プリンシパルが暗号操作にキーを使用できるようにします。これは、Secrets Manager がシークレットを暗号化および復号できるようにするために必要です。詳細については、「でのシークレット暗号化と復号化 AWS Secrets Manager」を参照してください。

• lambda – プリンシパルに Lambda ローテーション関数の一覧表示を許可します。これは、コンソールを使用するプリンシパルが、既存のローテーション関数を選択できるようにするために必要です。

• rds – プリンシパルに Amazon RDS DB のクラスターとインスタンスの記述を許可します。これは、コンソールを使用するプリンシパルが Amazon RDS クラスターまたはインスタンスを選択できるようにするために必要です。

• redshift – プリンシパルに Amazon Redshift でのクラスターの記述を許可します。これは、コンソールを使用するプリンシパルが Amazon Redshift クラスターを選択できるようにするために必要です。

• redshift-serverless— プリンシパルが Amazon Redshift サーバーレスで名前空間を記述できるようにします。これは、コンソールを使用するプリンシパルが Amazon Redshift サーバーレス名前空間を選択できるようにするために必要です。

• docdb-elastic – プリンシパルに Amazon DocumentDB での Elastic クラスターの記述を許可します。これは、コンソールを使用するプリンシパルが、Amazon DocumentDB の Elastic クラスターを選択できるようにするために必要です。

• tag – プリンシパルに、アカウント内のタグ付けされた全リソースの取得を許可します。

• serverlessrepo— プリンシパルが変更セットを作成できるようにします。 AWS CloudFormation これは、コンソールを使用するプリンシパルが Lambda ローテーション関数を作成できるようにするために必要です。詳細については、「Secrets Manager が AWS CloudFormation を使用する方法」を参照してください。

• s3— プリンシパルがが管理する Amazon S3 バケットからオブジェクトを取得できるようにします。 AWSこのバケットには Lambda ローテーション関数のテンプレート が含まれます。このアクセス許可は、コンソールを使用するプリンシパルがバケット内のテンプレートに基づいて、Lambda ローテーション関数を作成できるようにするために必要です。詳細については、「Secrets Manager が AWS CloudFormation を使用する方法」を参照してください。

ポリシーを表示するには、SecretsManagerReadWrite JSON ポリシードキュメントを参照してください。

Secrets Manager AWS による管理ポリシーの更新

Secrets Manager AWS の管理ポリシーの更新に関する詳細を表示します。

変更	説明	日付
SecretsManagerReadWrite - 既存ポリシーへの更新	このポリシーは、Amazon Redshift サーバーレスへの記述アクセスを許可するように更新されました。これにより、コンソールユーザーは Amazon Redshift シークレットを作成するときに Amazon Redshift サーバーレス名前空間を選択できます。	2024 年 3 月 12 日
SecretsManagerReadWrite – 既存ポリシーへの更新	このポリシーは、Amazon DocumentDB の Elastic クラスターへの記述アクセスを許可するように更新されました。これにより、コンソールユーザーは Amazon DocumentDB シークレットを作成するときに Elastic クラスターを選択できます。	2023 年 9 月 12 日
SecretsManagerReadWrite – 既存ポリシーへの更新	このポリシーは、Amazon Redshift への記述アクセスを許可するように更新されました。これにより、コンソールユーザーは Amazon Redshift シークレットを作成するときに Amazon Redshift クラスターを選択できます。この更新では、Lambda ローテーション関数テンプレートを格納する Amazon S3 AWS バケットへの読み取りアクセスを許可する新しい権限も追加されました。	2020 年 6 月 24 日
SecretsManagerReadWrite – 既存ポリシーへの更新	このポリシーは、Amazon RDS クラスターへの記述アクセスを許可するように更新されました。これにより、コンソールユーザーは Amazon RDS シークレットを作成するときにクラスターを選択できます。	2018 年 5 月 3 日
SecretsManagerReadWrite - 新しいポリシー	Secrets Manager は、Secrets Manager へのすべての読み取り/書き込みアクセスで、コンソールを使用するために必要なアクセス許可を付与するポリシーを作成しました。	2018 年 04 月 4 日
Secrets Manager が変更の追跡を開始	Secrets Manager は、 AWS 管理ポリシーの変更の追跡を開始しました。	2018 年 04 月 4 日