的身份验证和访问控制 AWS Secrets Manager - AWS Secrets Manager

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

的身份验证和访问控制 AWS Secrets Manager

Secrets Manager 用AWS Identity and Access Management (IAM) 来保护密钥的访问权限。IAM 提供了身份验证和访问控制。身份验证确认个人请求的身份。Secrets Manager 使用密码、访问密钥登录过程和多重身份验证(MFA) 令牌来验证用户身份。请参阅登录 AWS访问控制确保只有获得批准的个人才能对密钥等 AWS 资源执行操作。Secrets Manager 使用策略来定义谁有权访问哪些资源,以及身份可以对这些资源执行哪些操作。参见 IAM 中的策略和权限

Secrets Manager 管理员权限

如果要授予 Secrets Manager 管理员权限,请根据添加和删除 IAM 身份权限和下列策略进行操作:

我们建议您不要向最终用户授予管理员权限。尽管这样用户可以创建和管理密钥,但启用轮换所需的权限 (IAMFullAccess) 会授予不适合最终用户的重要权限。

访问密钥的权限

通过采用 IAM 权限策略,您可以控制哪些用户或服务有权访问您的密钥。权限策略描述了哪些人可以对哪些资源执行哪些操作。您可以:

Lambda 轮换函数的权限

Secrets Manager 使用 AWS Lambda 函数来轮换密钥。Lambda 函数必须具有对密钥以及密钥包含凭据的数据库或服务的访问权限。请参阅 轮换权限

加密密钥权限

Secrets Manager 使用 AWS Key Management Service (AWS KMS) 密钥来加密机密。 AWS 托管式密钥 aws/secretsmanager自动具有正确的权限。如果您使用不同的 KMS 密钥,Secrets Manager 需要对该密钥的权限。请参阅 KMS 密钥的权限

复制权限

通过使用 IAM 权限策略,您可以控制哪些用户或服务可以将您的密钥复制到其他区域。请参阅 防止 AWS Secrets Manager 复制