As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Anexo de uma política de permissões a um segredo do AWS Secrets Manager
Em uma política baseada em recursos, especifique quem pode acessar o segredo e as ações que essa pessoa pode executar no segredo. Você pode usar políticas baseadas em recursos para:
-
Conceder acesso a vários usuários e funções a um único segredo.
-
Conceder acesso a usuários ou funções em outras contas da AWS.
Consulte Exemplos de política de permissões para o AWS Secrets Manager.
Quando você anexa uma política baseada em recursos a um segredo no console, o Secrets Manager usa o mecanismo de raciocínio automatizado ZelkovaValidateResourcePolicy
para impedir que você conceda acesso a seus segredos a uma ampla gama de entidades principais do IAM. Você também pode chamar a API PutResourcePolicy
com o parâmetro BlockPublicPolicy
da CLI ou do SDK.
Para visualizar, alterar ou excluir a política de recursos de um segredo (console)
Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/
. Na lista de segredos, escolha o segredo.
-
Na página de detalhes do segredo, na guia de Visão geral da seção Permissões de recursos, escolha Editar permissões.
-
No campo do código, siga um dos procedimentos a seguir e escolha Save (Salvar):
-
Para anexar ou modificar uma política de recursos, insira a política.
-
Para excluir a política, limpe o campo do código.
-
AWS CLI
exemplo Recuperar uma política de recursos
O exemplo de get-resource-policy
a seguir recupera a política baseada em recurso anexada a um segredo.
aws secretsmanager get-resource-policy \ --secret-id MyTestSecret
exemplo Excluir uma política de recurso
O exemplo de delete-resource-policy
a seguir exclui a política baseada em recurso anexada a um segredo.
aws secretsmanager delete-resource-policy \ --secret-id MyTestSecret
exemplo Adicionar uma política de recurso
O exemplo de put-resource-policy
a seguir adiciona uma política de permissões a um segredo, verificando primeiro se a política não fornece acesso amplo ao segredo. A política é lida de um arquivo. Para obter mais informações, consulte Carregar os parâmetros da AWS CLI de um arquivo no Guia do usuário do AWS CLI.
aws secretsmanager put-resource-policy \ --secret-id MyTestSecret \ --resource-policy file://mypolicy.json \ --block-public-policy
Conteúdo de mypolicy.json
:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/MyRole" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] }
AWS SDK
Para recuperar a política anexada a um segredo, use GetResourcePolicy
.
Para excluir a política anexada a um segredo, use DeleteResourcePolicy
.
Para anexar uma política a um segredo, use PutResourcePolicy
. Se já houver uma política anexada, o comando a substituirá pela nova política. O documento da política deve estar formatado como texto JSON estruturado. Consulte Estrutura de documento de política JSON. Use os Exemplos de política de permissões para o AWS Secrets Manager para começar a criar sua política.
Para obter mais informações, consulte AWS SDKs.