Autenticação e controle de acesso para o AWS Secrets Manager - AWS Secrets Manager

Autenticação e controle de acesso para o AWS Secrets Manager

O Secrets Manager usa o AWS Identity and Access Management (IAM) para proteger o acesso a segredos. O IAM fornece autenticação e controle de acesso. Autenticação verifica a identidade das solicitações das pessoas. O Secrets Manager usa um processo de login com senhas, chaves de acesso e tokens de autenticação multifator (MFA) para verificar a identidade dos usuários. Consulte Fazer login na AWS. Controle de acesso garante que apenas pessoas aprovadas possam executar operações em recursos da AWS, como segredos. O Secrets Manager usa políticas para definir quem tem acesso a quais recursos e quais ações a identidade pode executar nesses recursos. Consulte Políticas e permissões no IAM.

Permissões de administrador do Secrets Manager

Para conceder permissões de administrador ao Secrets Manager, siga as instruções de Adicionar e remover permissões de identidade do IAM e anexe as seguintes políticas:

Recomendamos que você não conceda permissões de administrador a usuários finais. Embora isso permita que os usuários criem e gerenciem os segredos, a permissão necessária para habilitar a alternância (IAMFullAccess) concede permissões significativas que não são adequadas para usuários finais.

Permissões para acessar segredos

Ao usar as políticas de permissão do IAM, você pode controlar quais usuários ou serviços têm acesso aos seus segredos. Uma política de permissões descreve quem pode executar quais ações em quais recursos. É possível:

Permissões para funções de alternância do Lambda

O Secrets Manager usa funções do AWS Lambda para alternar segredos. A função Lambda deve ter acesso ao segredo e também ao banco de dados ou serviço para o qual o segredo contém credenciais. Consulte Permissões para alternância.

Permissões para chaves de criptografia

O Secrets Manager usa chaves do AWS Key Management Service (AWS KMS) para criptografar segredos. O Chave gerenciada pela AWS aws/secretsmanager tem, automaticamente, as permissões corretas. Se você usar uma chave do KMS diferente, o Secrets Manager necessitará de permissões para essa chave. Consulte Permissões para a chave do KMS.