AWS Secrets Manager 보안 암호에 대한 권한이 있는 사용자 확인

기본적으로 IAM 자격 증명에는 보안 암호에 대한 액세스 권한이 없습니다. 보안 암호에 대한 액세스를 승인할 때 Secrets Manager는 보안 암호에 연결된 리소스 기반 정책과, 요청을 제출하는 IAM 사용자나 역할에 연결된 모든 자격 증명 기반 정책을 평가합니다. 이를 수행하기 위해 Secrets Manager는 IAM 사용 설명서의 요청 허용 또는 거부 여부 결정에 설명된 프로세스와 유사한 프로세스를 사용합니다.

요청에 적용되는 정책이 여러 개인 경우 Secrets Manager는 계층 구조를 사용하여 권한을 제어합니다.

1. 명시적인 deny가 있는 정책의 설명이 요청 작업 및 리소스와 일치하는 경우:

   명시적인 deny는 다른 모든 것을 무시하고 작업을 차단합니다.

2. 명시적인 deny가 없지만 명시적인 allow가 있는 설명이 요청 작업 및 리소스와 일치하는 경우:

   명시적인 allow는 설명의 리소스에 대한 액세스 권한을 요청의 작업에 부여합니다.

   자격 증명과 보안 암호가 서로 다른 두 계정에 있는 경우 보안 암호에 대한 리소스 정책 및 자격 증명에 연결된 정책 모두에 allow가 있어야 합니다. 그렇지 않은 경우에는 AWS가 요청을 거부합니다. 자세한 정보는 교차 계정 액세스을 참조하세요.

3. 요청 작업 및 리소스와 일치하는 명시적인 allow가 있는 설명이 없는 경우:

   AWS는 기본적으로 요청을 거부하며, 이를 암묵적 거부라고도 합니다.

보안 암호에 대한 리소스 기반 정책을 보려면

• 다음 중 하나를 수행하세요.

  • https://console.aws.amazon.com/secretsmanager/에서 Secrets Manager 콘솔을 엽니다. 보안 암호에 대한 보안 암호 세부 정보 페이지의 리소스 권한(Resource permissions) 섹션에서 권한 편집(Edit permissions)을 선택합니다.

  • AWS CLI을(를) 사용하여 get-resource-policy을(를) 호출하거나 AWS SDK를 사용하여 GetResourcePolicy을(를) 호출합니다.

자격 증명 기반 정책을 통해 액세스할 수 있는 사용자를 확인하려면 다음을 수행합니다.

• IAM 정책 시뮬레이터를 사용합니다. IAM 정책 시뮬레이터로 IAM 정책 테스트를 참조하세요.