將許可政策連接至身分

將許可政策連接到 IAM 身分：使用者、使用者群組和角色。在身分型政策中，您指定該身分可以存取哪些秘密以及該身分可以對該秘密執行哪些動作。如需更多資訊，請參閱《新增和移除 IAM 身分許可》。

您可以向代表其他服務中應用程式或使用者的角色授予許可。例如，在 Amazon EC2 執行個體上執行的應用程式可能需要存取資料庫。您可以建立與 EC2 執行個體設定檔相連的 IAM 角色，然後使用許可政策授予角色存取含有資料庫憑證的機密。如需相關資訊，請參閱《利用 IAM 角色來授予許可給 Amazon EC2 執行個體上執行的應用程式》。其他您可以附加角色以加入 Amazon Redshift、AWS Lambda，和 Amazon ECS 的服務。

您也可以將許可授予經過 IAM 以外的身分系統驗證的使用者。例如，您可將 IAM 角色與使用 Amazon Cognito 登入的行動應用程式使用者建立關聯。角色將利用角色許可政策中的許可來授予應用程式暫時登入資料。然後，您可以使用許可政策將對秘密的存取權授予角色。如需相關資訊，請參閱《身分提供者和聯合》。

您可以使用身分型政策：

• 授予身分對多個秘密的存取權。

• 控制誰可以建立新秘密，以及誰可以存取尚未建立的秘密。

• 授予 IAM 群組對秘密的存取權。

如需更多詳細資訊，請參閱 權限原則範例 AWS Secrets Manager。