Anexar uma política de permissões a um segredo - AWS Secrets Manager

Anexar uma política de permissões a um segredo

Em uma política baseada em recursos, especifique quem pode acessar o segredo e as ações que essa pessoa pode executar no segredo. Você pode usar políticas baseadas em recursos para:

  • Conceder acesso a vários usuários e funções a um único segredo.

  • Conceder acesso a usuários ou funções em outras contas da AWS.

Consulte Exemplos de política de permissões.

Quando você anexa uma política baseada em recursos a um segredo no console, o Secrets Manager usa o mecanismo de raciocínio automatizado Zelkova e a API ValidateResourcePolicy para impedir que você conceda acesso a seus segredos a uma ampla gama de entidades principais do IAM. Você também pode chamar a API PutResourcePolicy com o parâmetro BlockPublicPolicy da CLI ou do SDK.

Para visualizar, alterar ou excluir a política de recursos de um segredo (console)

  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Na página de detalhes do segredo, na seção Resource permissions (Permissões de recursos), escolha Edit permissions (Editar permissões).

  3. No campo do código, siga um dos procedimentos a seguir e escolha Save (Salvar):

    • Para anexar ou modificar uma política de recursos, insira a política.

    • Para excluir a política, limpe o campo do código.

AWS CLI

Para recuperar a política anexada ao segredo, use get-resource-policy.

O seguinte comando da CLI recupera a política anexada ao segredo.

$ aws secretsmanager get-resource-policy --secret-id production/MyAwesomeAppSecret { "ARN": "arn:aws:secretsmanager:us-east-2:123456789012:secret:production/MyAwesomeAppSecret-a1b2c3", "Name": "MyAwesomeAppSecret", "ResourcePolicy": "{\"Version\":\"2012-10-17\",\"Statement\":{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":[\"arn:aws:iam::111122223333:root\",\"arn:aws:iam::444455556666:root\"]},\"Action\":[\"secretsmanager:GetSecretValue\"],\"Resource\":\"*\"}}" }

Para excluir a política anexada ao segredo, use delete-resource-policy.

O seguinte comando da CLI exclui a política anexada ao segredo.

$ aws secretsmanager delete-resource-policy --secret-id production/MyAwesomeAppSecret { "ARN": "arn:aws:secretsmanager:us-east-2:123456789012:secret:production/MyAwesomeAppSecret-a1b2c3", "Name": "production/MyAwesomeAppSecret" }

Para anexar uma política para o segredo, use put-resource-policy. Se já existe uma política anexada, o comando primeiramente a remove e, em seguida, anexa a nova política. O documento da política deve estar formatado como texto JSON estruturado. Consulte Estrutura de documento de política JSON.

O seguinte comando da CLI anexa a política baseada em recursos que está anexada ao segredo. A política está definida no arquivo secretpolicy.json. Use os Exemplos de política de permissões para começar a criar sua política.

$ aws secretsmanager put-resource-policy --secret-id production/MyAwesomeAppSecret --resource-policy file://secretpolicy.json { "ARN": "arn:aws:secretsmanager:us-east-2:123456789012:secret:production/MyAwesomeAppSecret-a1b2c3", "Name": "MyAwesomeAppSecret" }

AWS SDK

Para recuperar a política anexada a um segredo, use GetResourcePolicy.

Para excluir a política anexada a um segredo, use DeleteResourcePolicy.

Para anexar uma política a um segredo, use PutResourcePolicy. Se já existe uma política anexada, o comando primeiramente a remove e, em seguida, anexa a nova política. O documento da política deve estar formatado como texto JSON estruturado. Consulte Estrutura de documento de política JSON. Use os Exemplos de política de permissões para começar a criar sua política.

Para mais informações, consulte AWS SDKs.