AWS Secrets Manager 的身份验证和访问控制 - AWS Secrets Manager

AWS Secrets Manager 的身份验证和访问控制

Secrets Manager 用AWS Identity and Access Management (IAM) 来保护密钥的访问权限。IAM 提供了身份验证和访问控制。身份验证确认个人请求的身份。Secrets Manager 使用密码、访问密钥登录过程和多重身份验证(MFA) 令牌来验证用户身份。请参阅登录到 AWS访问控制确保只有获得批准的个人才能对密钥等 AWS 资源执行操作。Secrets Manager 使用策略来定义谁有权访问哪些资源,以及身份可以对这些资源执行哪些操作。参见 IAM 中的策略和权限

Secrets Manager 管理员权限

如果要授予 Secrets Manager 管理员权限,请根据添加和删除 IAM 身份权限和下列策略进行操作:

我们建议您不要向最终用户授予管理员权限。尽管这样用户可以创建和管理密钥,但启用轮换所需的权限 (IAMFullAccess) 会授予不适合最终用户的重要权限。

访问密钥的权限

通过采用 IAM 权限策略,您可以控制哪些用户或服务有权访问您的密钥。权限策略描述了哪些人可以对哪些资源执行哪些操作。您可以:

Lambda 轮换函数的权限

Secrets Manager 使用 AWS Lambda 函数轮换密钥。Lambda 函数必须具有对密钥以及密钥包含凭据的数据库或服务的访问权限。请参阅轮换权限

加密密钥权限

Secrets Manager 使用 AWS Key Management Service (AWS KMS) 来对密钥进行加密。AWS 托管式密钥 aws/secretsmanager 自动拥有正确的权限。如果您使用不同的 KMS 密钥,Secrets Manager 需要对该密钥的权限。请参阅KMS 密钥的权限