As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Política gerenciada da AWS para o AWS Secrets Manager
Uma política gerenciada pela AWS é uma política independente criada e administrada pela AWS. As políticas gerenciadas pela AWS são criadas para fornecer permissões a vários casos de uso comuns a fim de que você possa começar a atribuir permissões a usuários, grupos e perfis.
Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para seus casos de uso específicos, por estarem disponíveis para uso por todos os clientes da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da específicas para seus casos de uso.
Você não pode alterar as permissões definidas em políticas gerenciadas AWS. Se AWS atualiza as permissões definidas em um política gerenciada por AWS, a atualização afeta todas as identidades de entidades principais (usuários, grupos e perfis) às quais a política estiver vinculada. É provável que AWS atualize uma política gerenciada por AWS quando um novo AWS service (Serviço da AWS) for lançado, ou novas operações de API forem disponibilizadas para os serviços existentes.
Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.
Política gerenciada da AWS: SecretsManagerReadWrite
Essa política fornece acesso de leitura e gravação ao AWS Secrets Manager, incluindo permissão para descrever os recursos do Amazon RDS, do Amazon Redshift e do Amazon DocumentDB, além de permissão para usar o AWS KMS para criptografar e descriptografar segredos. Essa política também fornece permissão para criar conjuntos de alterações do AWS CloudFormation, obter modelos de rotação de um bucket do Amazon S3 gerenciado pela AWS, listar funções do AWS Lambda e descrever as VPCs do Amazon EC2. Essas permissões são exigidas pelo console para configurar a rotação com as funções de rotação existentes.
Para criar novas funções de rotação, você também deve ter permissão para criar pilhas do AWS CloudFormation e perfis de execução do AWS Lambda. É possível atribuir a política gerenciada IAMFullAccess. Consulte Permissões para alternância.
Detalhes das permissões
Esta política inclui as seguintes permissões:
-
secretsmanager
: permite que entidades principais realizem todas as ações do Secrets Manager. -
cloudformation
: permite que as entidades principais criem pilhas do AWS CloudFormation. Isso é necessário para que as entidades principais que usam o console para ativar a rotação possam criar funções de rotação do Lambda por meio de pilhas do AWS CloudFormation. Para ter mais informações, consulte Como o Secrets Manager usa AWS CloudFormation. -
ec2
: permite que as entidades principais descrevam as VPCs do Amazon EC2. Isso é necessário para que as entidades principais que usam o console possam criar funções de rotação na mesma VPC do banco de dados das credenciais que estão armazenando em um segredo. -
kms
: permite que as entidades principais usem chaves do AWS KMS para operações criptográficas. Isso é necessário para que o Secrets Manager possa criptografar e descriptografar segredos. Para ter mais informações, consulte Criptografia e descriptografia de segredos no AWS Secrets Manager. -
lambda
: permite que as entidades principais listem as funções de rotação do Lambda. Isso é necessário para que as entidades principais que usam o console possam escolher as funções de rotação existentes. -
rds
: permite que as entidades principais descrevam clusters e instâncias no Amazon RDS. Isso é necessário para que as entidades principais que usam o console possam escolher clusters ou instâncias do Amazon RDS. -
redshift
: permite que as entidades principais descrevam clusters no Amazon Redshift. Isso é necessário para que as entidades principais que usam o console possam escolher clusters do Amazon Redshift. -
redshift-serverless
: permite que as entidades principais descrevam namespaces no Amazon Redshift sem servidor. Isso é necessário para que as entidades principais que usam o console possam namespaces do Amazon Redshift sem servidor. -
docdb-elastic
: permite que as entidades principais descrevam clusters elásticos no Amazon DocumentDB. Isso é necessário para que as entidades principais que usam o console possam escolher clusters elásticos do Amazon DocumentDB. -
tag
: permite que as entidades principais obtenham todos os recursos marcados na conta. -
serverlessrepo
: permite que as entidades principais criem conjuntos de alterações do AWS CloudFormation. Isso é necessário para que as entidades principais que usam o console possam criar funções de rotação do Lambda. Para ter mais informações, consulte Como o Secrets Manager usa AWS CloudFormation. -
s3
: permite que as entidades principais obtenham objetos de um bucket do Amazon S3 gerenciado pela AWS. Esse bucket contém Modelos de função de alternância do Lambda. Essa permissão é necessária para que as entidades principais que usam o console possam criar funções de rotação do Lambda com base nos modelos no bucket. Para ter mais informações, consulte Como o Secrets Manager usa AWS CloudFormation.
Para ver a política, consulte o documento de política JSON SecretsManagerReadWrite.
Atualizações do Secrets Manager para as políticas gerenciadas pela AWS
Visualize detalhes sobre as atualizações das políticas gerenciadas da AWS para o Secrets Manager.
Alteração | Descrição | Data | Version (Versão) |
---|---|---|---|
SecretsManagerReadWrite: atualiza para uma política existente |
Essa política foi atualizada para permitir a descrição do acesso ao Amazon Redshift sem servidor de forma que os usuários do console possam escolher um namespace do Amazon Redshift sem servidor ao criarem um segredo do Amazon Redshift. |
12 de março de 2024 | v5 |
SecretsManagerReadWrite: atualiza para uma política existente |
Essa política foi atualizada para permitir descrever o acesso aos clusters elásticos do Amazon DocumentDB para que os usuários do console possam escolher um cluster elástico ao criar um segredo do Amazon DocumentDB. |
12 de setembro de 2023 | v4 |
SecretsManagerReadWrite: atualiza para uma política existente |
Essa política foi atualizada para permitir descrever o acesso ao Amazon Redshift para que os usuários do console possam escolher um cluster do Amazon Redshift ao criarem um segredo do Amazon Redshift. A atualização também adicionou novas permissões para permitir acesso de leitura a um bucket do Amazon S3 gerenciado pela AWS, que armazena os modelos de função de rotação do Lambda. |
24 de junho de 2020 | v3 |
SecretsManagerReadWrite: atualiza para uma política existente |
Essa política foi atualizada para permitir descrever o acesso aos clusters do Amazon RDS para que os usuários do console possam escolher um cluster ao criar um segredo do Amazon RDS. |
3 de maio de 2018 | v2 |
SecretsManagerReadWrite: nova política |
O Secrets Manager criou uma política para conceder as permissões necessárias para usar o console com todo o acesso de leitura e gravação ao Secrets Manager. |
04 de abril de 2018 | v1 |