AWS Secrets Manager のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Secrets Manager のアクション、リソース、および条件キー

AWS Secrets Manager (サービスプレフィックス: secretsmanager) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS Secrets Manager で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
CancelRotateSecret ユーザーが進行中のシークレットのローテーションをキャンセルできるようにします。 書き込み

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

CreateSecret クエリおよびローテーションが可能な暗号化されたデータを保存するシークレットをユーザーが作成できるようにします。 書き込み

Secret*

secretsmanager:Name

secretsmanager:Description

secretsmanager:KmsKeyId

aws:RequestTag/tag-key

aws:TagKeys

secretsmanager:ResourceTag/tag-key

DeleteResourcePolicy ユーザーが、シークレットにアタッチされているリソースポリシーを削除できるようにします。 アクセス権限の管理

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

DeleteSecret ユーザーがシークレットを削除できるようにします。 書き込み

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:RecoveryWindowInDays

secretsmanager:ForceDeleteWithoutRecovery

secretsmanager:ResourceTag/tag-key

DescribeSecret ユーザーはシークレットに関するメタデータを取得できますが、暗号化されたデータは取得できません。 Read

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

GetRandomPassword ユーザーがパスワードの作成に使用するランダムな文字列を生成できるようにします。 Read
GetResourcePolicy ユーザーが、シークレットにアタッチされているリソースポリシーを取得できるようにします。 Read

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

GetSecretValue ユーザーが暗号化されたデータを取得および復号化できるようにします。 Read

Secret*

secretsmanager:SecretId

secretsmanager:VersionId

secretsmanager:VersionStage

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

ListSecretVersionIds ユーザーが利用可能なバージョンのシークレットを一覧表示できるようにします。 Read

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

ListSecrets ユーザーが利用可能なシークレットを一覧表示できるようにします。 リスト
PutResourcePolicy ユーザーが、シークレットにリソースポリシーをアタッチできるようにします。 アクセス権限の管理

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

secretsmanager:BlockPublicPolicy

PutSecretValue ユーザーが新しい暗号化されたデータで新しいバージョンのシークレットを作成できるようにします。 書き込み

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

RestoreSecret ユーザーがシークレットの削除をキャンセルできるようにします。 書き込み

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

RotateSecret ユーザーがシークレットのローテーションを開始できるようにします。 書き込み

Secret*

secretsmanager:SecretId

secretsmanager:RotationLambdaARN

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

TagResource ユーザーがシークレットにタグを追加できるようにします。 タグ付け

Secret*

secretsmanager:SecretId

aws:RequestTag/tag-key

aws:TagKeys

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

UntagResource ユーザーがシークレットからタグを削除できるようにします。 タグ付け

Secret*

secretsmanager:SecretId

aws:TagKeys

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

UpdateSecret ユーザーが新しいメタデータまたは新しいバージョンの暗号化データを使用してシークレットを更新できるようにします。 書き込み

Secret*

secretsmanager:SecretId

secretsmanager:Description

secretsmanager:KmsKeyId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

UpdateSecretVersionStage ユーザーが 1 つのシークレットから別のシークレットにステージを移動できるようにします。 書き込み

Secret*

secretsmanager:SecretId

secretsmanager:VersionStage

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

ValidateResourcePolicy ユーザーがポリシーをアタッチする前にリソースポリシーを検証できるようにします。 アクセス権限の管理

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

AWS Secrets Manager で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
Secret arn:${Partition}:secretsmanager:${Region}:${Account}:secret:${SecretId}

aws:RequestTag/tag-key

aws:TagKeys

secretsmanager:ResourceTag/tag-key

secretsmanager:resource/AllowRotationLambdaArn

AWS Secrets Manager の条件キー

AWS Secrets Manager は、Condition ポリシーの IAM 要素で使用できる次の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/tag-key ユーザーが Secrets Manager サービスに対して行うリクエストに含まれるキーによってアクセスがフィルタリングされます。 文字列
aws:TagKeys ユーザーが Secrets Manager サービスに行うリクエスト内のすべてのタグキー namespresent のリストによるアクセスをフィルタリングします。 文字列
secretsmanager:BlockPublicPolicy リソースポリシーが広範な AWS アカウントアクセスをブロックするかどうかによって、アクセスをフィルタリングします。 ブール値
secretsmanager:Description リクエスト内の説明テキストによるアクセスをフィルタリングします。 文字列
secretsmanager:ForceDeleteWithoutRecovery シークレットがリカバリウィンドウなしですぐに削除されるかどうかによりアクセスをフィルタリングします。 Boolean
secretsmanager:KmsKeyId リクエスト内の KMS キーの ARN によるアクセスをフィルタリングします。 文字列
secretsmanager:Name リクエスト内のシークレットのフレンドリ名によるアクセスをフィルタリングします。 文字列
secretsmanager:RecoveryWindowInDays Secrets Manager がシークレットを削除するまで待機する日数によるアクセスをフィルタリングします。 Long
secretsmanager:ResourceTag/tag-key タグキーと値のペアでアクセスをフィルタリングします。 文字列
secretsmanager:RotationLambdaARN リクエスト内のローテーション Lambda 関数の ARN によるアクセスをフィルタリングします。 ARN
secretsmanager:SecretId リクエスト内の SecretID 値によるアクセスをフィルタリングします。 ARN
secretsmanager:VersionId リクエスト内のシークレットのバージョンの一意の識別子によるアクセスをフィルタリングします。 文字列
secretsmanager:VersionStage リクエスト内のバージョンステージのリストによるアクセスをフィルタリングします。 文字列
secretsmanager:resource/AllowRotationLambdaArn シークレットに関連するローテーション Lambda 関数の ARN によるアクセスをフィルタリングします。 ARN