As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controle o acesso a segredos usando o controle de acesso por atributo (ABAC)
Controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos ou características do usuário, dos dados ou do ambiente, como o departamento, a unidade de negócios ou outros fatores que podem afetar o resultado da autorização. Na AWS, esses atributos são chamados de tags.
O uso de tags para controlar permissões é útil em ambientes que estão crescendo rapidamente e ajuda em situações em que o gerenciamento de políticas se torna um problema. As regras ABAC são avaliadas dinamicamente no runtime, o que significa que o acesso dos usuários às aplicações e aos dados e o tipo de operações permitidas mudam automaticamente com base nos fatores contextuais da política. Por exemplo, se um usuário muda de departamento, o acesso é ajustado automaticamente sem a necessidade de atualizar as permissões ou solicitar novas funções. Para obter mais informações, consulte: O que é o ABAC para a AWS? , Definir permissões para acessar segredos da com base em tags e Escale suas necessidades de autorização para o Secrets Manager usando o ABAC com o IAM Identity Center
Exemplo: permitir que uma identidade acesse segredos que tenham tags específicas
A política a seguir permite o acesso DescribeSecret
em segredos com uma tag com a chave ServerName
e o valor ServerABC
. Se você anexar essa política a uma identidade, a identidade terá permissão para qualquer segredo com essa tag na conta.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "secretsmanager:DescribeSecret", "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/
ServerName
": "ServerABC
" } } } }
Exemplo: permitir o acesso somente a identidades com tags que correspondam às tags dos segredos
A política a seguir permite que qualquer identidade na conta GetSecretValue
acesse qualquer segredo na conta em que a tag
da identidade tenha o mesmo valor que a tag AccessProject
do segredo.AccessProject
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "AWS": "123456789012" }, "Condition": { "StringEquals": { "aws:ResourceTag/
AccessProject
": "${ aws:PrincipalTag/AccessProject
}" } }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } }