确定谁有权限访问您的 AWS Secrets Manager 密钥 - AWS Secrets Manager

确定谁有权限访问您的 AWS Secrets Manager 密钥

预设情况下，IAM 身份无权限访问密钥。授权访问密钥时，Secrets Manager 会评估密钥基于资源的策略以及发送请求的 IAM 用户或角色的所有身份策略。为此，Secrets Manager 使用与 IAM 用户指南中确定请求是允许还是拒绝中描述过程类似的过程。

多个策略应用于请求时，Secrets Manager 会使用层次结构控制权限：

如果任何策略中具有显式表达式的语句与请求操作和资源 deny 匹配：

显式表达式 deny 覆盖其他所有内容并阻止操作。
如果没有显式表达式 deny，但带有显式表达式 allow 与请求操作和资源匹配：

显式表达式 allow 授予请求中的操作访问语句中资源的权限。

如果身份和密钥在两个不同的帐户中，在密钥资源策略和附加到身份的策略中必须有 allow，否则 AWS 拒绝该请求。有关更多信息，请参见跨账户存取。
如果没有带显式表达式 allow 与请求操作和资源相匹配：

AWS 在预设情况下拒绝请求，称为隐式拒绝。

查看密钥基于资源的策略

请执行下列操作之一：
- 在网址 https://console.aws.amazon.com/secretsmanager/ 上打开 Secrets Manager 控制台。在您的密钥详细信息页面中，在资源权限部分，选择编辑权限。
- 使用 AWS CLI 调用 get-resource-policy，或者使用 AWS SDK 调用 GetResourcePolicy。

确定哪些人可以通过基于身份的策略进行访问

使用 IAM policy simulator。参见用 IAM policy simulator 测试 IAM 策略

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

AWS 托管策略

跨账户存取