驗證和存取控制 AWS Secrets Manager

Secrets Manager 會使用 AWS Identity and Access Management (IAM) 來保護秘密的存取權。IAM 提供身分驗證與存取控制。身分驗證會驗證個人請求的身分。Secrets Manager 會使用登入程序、密碼、存取金鑰和多重要素驗證 (MFA) 字符來驗證使用者的身分。請參閱登入 AWS。存取控制可確保只有經核准的個人可對 AWS 資源 (例如秘密) 執行操作。Secrets Manager 使用政策來定義誰可以存取哪些資源，以及相應身分可以對那些資源採取哪些動作。請參閱 IAM 中的政策和許可。

Secrets Manager 管理員許可

若要授予 Secrets Manager 管理員許可，請遵循新增與移除 IAM 身分許可中的說明，並連接下列政策：

• SecretsManagerReadWrite

• IAMFullAccess

建議您不要將管理員許可授予最終使用者。雖然這樣做可讓使用者建立及管理其秘密，但啟用輪換所需的許可 (IAMFullAccess) 會授予最終使用者不適用的重要許可。

存取秘密的許可

您可以利用 IAM 許可政策，藉此控制可以存取秘密的使用者或服務。許可政策描述哪些人可在哪些資源上執行哪些動作。您可以：

• 將許可政策連接至身分

• 將許可政策連接至 AWS Secrets Manager 秘密

Lambda 輪換函數的許可

Secrets Manager 使用 AWS Lambda 函數來旋轉密碼。Lambda 函數必須能夠存取秘密，以及該秘密包含其憑證的資料庫或服務。請參閱輪換的許可。

用於加密金鑰的許可

Secrets Manager 使用 AWS Key Management Service (AWS KMS) 金鑰來加密密碼。 AWS 受管金鑰 aws/secretsmanager自動具有正確的權限。如果使用不同的 KMS 金鑰，Secrets Manager 需要該金鑰的許可。請參閱KMS 金鑰的許可。

複寫的權限

透過使用 IAM 權限政策，您可以控制哪些使用者或服務可以將您的密碼複寫到其他區域。請參閱防止 AWS Secrets Manager 複製。