Evite a AWS Secrets Manager replicação - AWS Secrets Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Evite a AWS Secrets Manager replicação

Como os segredos podem ser replicados usando ReplicateSecretToRegionsou quando são criados usando CreateSecret, se você quiser impedir que os usuários repliquem segredos, recomendamos que você evite ações que contenham o AddReplicaRegions parâmetro. Você pode usar uma Condition declaração em suas políticas de permissão para permitir somente ações que não adicionem regiões de réplica. Veja os exemplos de políticas a seguir para ver as declarações de condição que você pode usar.

exemplo Impedir a permissão de replicação

O exemplo de política a seguir mostra como permitir todas as ações que não adicionam regiões de réplica. Isso impede que os usuários repliquem segredos por meio de ReplicateSecretToRegions e. CreateSecret

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:*",
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:AddReplicaRegions": "true"
        }
      }
    }
  ]
}
exemplo Permitir permissão de replicação somente para regiões específicas

A política a seguir mostra como permitir tudo o que segue:

  • Crie segredos sem replicação

  • Crie segredos com replicação para regiões somente nos Estados Unidos e Canadá

  • Replique segredos para regiões somente nos Estados Unidos e Canadá 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:ReplicateSecretToRegions"
      ],
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringLike": {
          "secretsmanager:AddReplicaRegions": [
            "us-*",
            "ca-*"
          ]
        }
      }
    }
  ]
}