As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Evite a AWS Secrets Manager replicação
Como os segredos podem ser replicados usando ReplicateSecretToRegions
ou quando são criados usando CreateSecret
, se você quiser impedir que os usuários repliquem segredos, recomendamos que você evite ações que contenham o AddReplicaRegions
parâmetro. Você pode usar uma Condition
declaração em suas políticas de permissão para permitir somente ações que não adicionem regiões de réplica. Veja os exemplos de políticas a seguir para ver as declarações de condição que você pode usar.
exemplo Impedir a permissão de replicação
O exemplo de política a seguir mostra como permitir todas as ações que não adicionam regiões de réplica. Isso impede que os usuários repliquem segredos por meio de ReplicateSecretToRegions
e. CreateSecret
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:*", "Resource": "*", "Condition": { "Null": { "secretsmanager:AddReplicaRegions": "true" } } } ] }
exemplo Permitir permissão de replicação somente para regiões específicas
A política a seguir mostra como permitir tudo o que segue:
Crie segredos sem replicação
Crie segredos com replicação para regiões somente nos Estados Unidos e Canadá
Replique segredos para regiões somente nos Estados Unidos e Canadá
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:ReplicateSecretToRegions" ], "Resource": "*", "Condition": { "ForAllValues:StringLike": { "secretsmanager:AddReplicaRegions": [ "us-*", "ca-*" ] } } } ] }