本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 的托管策略 AWS Secrets Manager
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 当新服务启动或现有服务 AWS 服务 有新API操作可用时,最有可能更新 AWS 托管策略。
有关更多信息,请参阅《IAM用户指南》中的AWS 托管策略。
AWS 托管策略: SecretsManagerReadWrite
该政策提供读/写权限 AWS Secrets Manager,包括描述亚马逊、Amazon Redshift 和 Amazon DocumentDB 资源的权限,以及 AWS KMS 用于加密和解密机密的权限。RDS该策略还允许创建 AWS CloudFormation 变更集、从由管理的 Amazon S3 存储桶获取轮换模板 AWS、列出 AWS Lambda 函数和描述 Amazon EC2 VPCs。控制台需要这些权限才能使用现有的轮换函数设置轮换。
要创建新的轮换函数,您还必须拥有创建 AWS CloudFormation 堆栈和 AWS Lambda 执行角色的权限。您可以分配IAMFullAccess托管策略。请参阅 轮换权限。
权限详细信息
该策略包含以下权限。
-
secretsmanager– 允许主体执行所有 Secrets Manager 操作。 -
cloudformation— 允许委托人创建 AWS CloudFormation 堆栈。这是必需的,以便使用控制台开启轮换功能的委托人可以通过堆栈创建 Lambda 轮换函数 AWS CloudFormation 。有关更多信息,请参阅 Secrets Manager 如何使用 AWS CloudFormation。 -
ec2— 允许校长描述亚马逊EC2VPCs。这是必需的,以便使用控制台的委托人可以在与他们存储在密钥中的凭据数据库VPC相同的方式创建轮换函数。 -
kms— 允许委托人使用 AWS KMS 密钥进行加密操作。这是必需的条件,这样 Secrets Manager 才能加密和解密密钥。有关更多信息,请参阅 中的秘密加密和解密 AWS Secrets Manager。 -
lambda– 允许主体列出 Lambda 轮换函数。这是必需的条件,以便使用控制台的主体可以选择现有的轮换函数。 -
rds— 允许委托人描述 Amazon RDS 中的集群和实例。这是必需的,以便使用控制台的委托人可以选择 Amazon RDS 集群或实例。 -
redshift– 允许主体描述 Amazon Redshift 中的集群。这是必需的条件,以便使用控制台的主体可以选择 Amazon Redshift 集群。 -
redshift-serverless— 允许委托人在 Amazon Redshift Serverless 中描述命名空间。这是必需的,以便使用控制台的委托人可以选择 Amazon Redshift Serverless 命名空间。 -
docdb-elastic– 允许主体描述 Amazon DocumentDB 中的弹性集群。这是必需的条件,以便使用控制台的主体可以选择 Amazon DocumentDB 弹性集群。 -
tag– 允许主体获取账户中所有已标记的资源。 -
serverlessrepo— 允许委托人创建 AWS CloudFormation 更改集。这是必需的条件,以便使用控制台的主体可以创建 Lambda 轮换函数。有关更多信息,请参阅 Secrets Manager 如何使用 AWS CloudFormation。 -
s3— 允许委托人从由 AWS管理的 Amazon S3 存储桶中获取对象。此存储桶包含 Lambda 轮换函数模板。此权限是必需的,这样使用控制台的主体才能根据存储桶中的模板创建 Lambda 轮换函数。有关更多信息,请参阅 Secrets Manager 如何使用 AWS CloudFormation。
要查看政策,请参阅SecretsManagerReadWrite JSON政策文档。
Secrets Manager 对 AWS 托管策略的更新
查看有关 Secrets Manager AWS 托管策略更新的详细信息。
| 更改 | 描述 | 日期 | 版本 |
|---|---|---|---|
|
SecretsManagerReadWrite – 更新到现有策略 |
此政策已更新,允许描述访问亚马逊 Redshift Serverless,以便主机用户在创建亚马逊 Redshift 密钥时可以选择亚马逊 Redshift 无服务器命名空间。 |
2024 年 3 月 12 日 | v5 |
|
SecretsManagerReadWrite – 更新到现有策略 |
此策略已更新,允许描述访问 Amazon DocumentDB 弹性集群的权限,以便控制台用户可在创建 Amazon DocumentDB 密钥时选择弹性集群。 |
2023 年 9 月 12 日 | v4 |
|
SecretsManagerReadWrite – 更新到现有策略 |
此策略已更新,允许描述访问 Amazon Redshift 的权限,以便控制台用户可在创建 Amazon Redshift 密钥时选择 Amazon Redshift 集群。此更新还增加了新的权限,允许对存储 Lambda 轮换函数模板 AWS 的 Amazon S3 存储桶进行读取访问。 |
2020 年 6 月 24 日 | v3 |
|
SecretsManagerReadWrite – 更新到现有策略 |
此政策已更新,允许对亚马逊RDS集群进行描述访问,以便控制台用户在创建 Amazon RDS 密钥时可以选择集群。 |
2018 年 5 月 3 日 | v2 |
|
SecretsManagerReadWrite – 新策略 |
Secrets Manager 创建了一个策略,用于授予使用控制台所需的权限,并授予对 Secrets Manager 的所有读/写访问权限。 |
2018 年 04 月 4 日 | v1 |
