Controle o acesso a segredos usando o controle de acesso por atributo (ABAC) - AWS Secrets Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle o acesso a segredos usando o controle de acesso por atributo (ABAC)

Controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos ou características do usuário, dos dados ou do ambiente, como o departamento, a unidade de negócios ou outros fatores que podem afetar o resultado da autorização. Na AWS, esses atributos são chamados de tags.

O uso de tags para controlar permissões é útil em ambientes que estão crescendo rapidamente e ajuda em situações em que o gerenciamento de políticas se torna um problema. As regras ABAC são avaliadas dinamicamente no runtime, o que significa que o acesso dos usuários às aplicações e aos dados e o tipo de operações permitidas mudam automaticamente com base nos fatores contextuais da política. Por exemplo, se um usuário muda de departamento, o acesso é ajustado automaticamente sem a necessidade de atualizar as permissões ou solicitar novas funções. Para obter mais informações, consulte: O que é o ABAC para a AWS? , Definir permissões para acessar segredos da com base em tags e Escale suas necessidades de autorização para o Secrets Manager usando o ABAC com o IAM Identity Center.

Exemplo: permitir que uma identidade acesse segredos que tenham tags específicas

A política a seguir permite o acesso DescribeSecret em segredos com uma tag com a chave ServerName e o valor ServerABC. Se você anexar essa política a uma identidade, a identidade terá permissão para qualquer segredo com essa tag na conta.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "secretsmanager:DescribeSecret", "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/ServerName": "ServerABC" } } } }

Exemplo: permitir o acesso somente a identidades com tags que correspondam às tags dos segredos

A política a seguir permite que qualquer identidade na conta GetSecretValue acesse qualquer segredo na conta em que a tag AccessProject da identidade tenha o mesmo valor que a tag AccessProject do segredo.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "AWS": "123456789012" }, "Condition": { "StringEquals": { "aws:ResourceTag/AccessProject": "${ aws:PrincipalTag/AccessProject }" } }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } }