Anexar uma política de permissões a uma identidade

É possível anexar políticas de permissões a identidades do IAM: usuários, grupos de usuários e funções. Em uma política baseada em identidades, especifique que segredos a identidade pode acessar e que ações a identidade pode executar nos segredos. Para obter mais informações, consulte Adicionar e remover permissões de identidade do IAM.

É possível conceder permissões a um perfil que representa uma aplicação ou um usuário em outro serviço. Por exemplo, uma aplicação em execução em uma instância do Amazon EC2 pode precisar de acesso a um banco de dados. Você pode criar um perfil do IAM anexado ao perfil de instância do EC2 e usar uma política de permissões para conceder à função acesso ao segredo que contém credenciais para o banco de dados. Para obter mais informações, consulte Uso de um perfil do IAM para conceder permissões a aplicações em execução em instâncias do Amazon EC2. Outros serviços aos quais você pode anexar perfis incluem o Amazon Redshift, o AWS Lambda e o Amazon ECS.

Você também pode conceder permissões a usuários autenticados por um sistema de identidade diferente do IAM. Por exemplo, você pode associar funções do IAM a usuários de aplicações móveis que fazem login usando o Amazon Cognito. A função concede ao aplicativo credenciais temporárias com as permissões na política de permissões da função. Em seguida, você pode usar uma política de permissões para conceder à função acesso ao segredo. Para obter mais informações, consulte Provedores de identidade e federação.

Você pode usar políticas baseadas em identidades para:

• Conceder um acesso de identidade a vários segredos.

• Controlar quem pode criar novos segredos e quem pode acessar segredos que ainda não foram criados.

• Conceder a um grupo do IAM acesso a segredos.

Para obter mais informações, consulte Exemplos de política de permissões para o AWS Secrets Manager.