Anexo de uma política de permissões a um segredo do AWS Secrets Manager - AWS Secrets Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Anexo de uma política de permissões a um segredo do AWS Secrets Manager

Em uma política baseada em recursos, especifique quem pode acessar o segredo e as ações que essa pessoa pode executar no segredo. Você pode usar políticas baseadas em recursos para:

  • Conceder acesso a vários usuários e funções a um único segredo.

  • Conceder acesso a usuários ou funções em outras contas da AWS.

Consulte Exemplos de política de permissões para o AWS Secrets Manager.

Quando você anexa uma política baseada em recursos a um segredo no console, o Secrets Manager usa o mecanismo de raciocínio automatizado Zelkova e a API ValidateResourcePolicy para impedir que você conceda acesso a seus segredos a uma ampla gama de entidades principais do IAM. Você também pode chamar a API PutResourcePolicy com o parâmetro BlockPublicPolicy da CLI ou do SDK.

Para visualizar, alterar ou excluir a política de recursos de um segredo (console)
  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Na lista de segredos, escolha o segredo.

  3. Na página de detalhes do segredo, na guia de Visão geral da seção Permissões de recursos, escolha Editar permissões.

  4. No campo do código, siga um dos procedimentos a seguir e escolha Save (Salvar):

    • Para anexar ou modificar uma política de recursos, insira a política.

    • Para excluir a política, limpe o campo do código.

AWS CLI

exemplo Recuperar uma política de recursos

O exemplo de get-resource-policy a seguir recupera a política baseada em recurso anexada a um segredo.

aws secretsmanager get-resource-policy \ --secret-id MyTestSecret
exemplo Excluir uma política de recurso

O exemplo de delete-resource-policy a seguir exclui a política baseada em recurso anexada a um segredo.

aws secretsmanager delete-resource-policy \ --secret-id MyTestSecret
exemplo Adicionar uma política de recurso

O exemplo de put-resource-policy a seguir adiciona uma política de permissões a um segredo, verificando primeiro se a política não fornece acesso amplo ao segredo. A política é lida de um arquivo. Para obter mais informações, consulte Carregar os parâmetros da AWS CLI de um arquivo no Guia do usuário do AWS CLI.

aws secretsmanager put-resource-policy \ --secret-id MyTestSecret \ --resource-policy file://mypolicy.json \ --block-public-policy

Conteúdo de mypolicy.json:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/MyRole" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] }

AWS SDK

Para recuperar a política anexada a um segredo, use GetResourcePolicy.

Para excluir a política anexada a um segredo, use DeleteResourcePolicy.

Para anexar uma política a um segredo, use PutResourcePolicy. Se já houver uma política anexada, o comando a substituirá pela nova política. O documento da política deve estar formatado como texto JSON estruturado. Consulte Estrutura de documento de política JSON. Use os Exemplos de política de permissões para o AWS Secrets Manager para começar a criar sua política.

Para obter mais informações, consulte AWS SDKs.