防止 AWS Secrets Manager 複製 - AWS Secrets Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

防止 AWS Secrets Manager 複製

由於可以使用ReplicateSecretToRegions或在使用建立密碼時複製密碼 CreateSecret,因此如果您想要防止使用者複寫密碼,建議您避免包含該AddReplicaRegions參數的動作。您可以在權限原則中使用Condition陳述式,僅允許不新增複本區域的動作。如需您可以使用的條件陳述式,請參閱下列政策範例。

範例 防止複寫權限

下列原則範例顯示如何允許所有不新增複本區域的動作。這可防止使用者透過ReplicateSecretToRegionsCreateSecret複寫密碼。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:*",
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:AddReplicaRegions": "true"
        }
      }
    }
  ]
}
範例 僅允許特定區域的複寫權限

下列原則顯示如何允許下列所有項目:

  • 無需複寫即可建立密

  • 透過複寫至僅在美國和加拿大的區域建立秘密

  • 僅將秘密複製到美國和加拿大的區域 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:ReplicateSecretToRegions"
      ],
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringLike": {
          "secretsmanager:AddReplicaRegions": [
            "us-*",
            "ca-*"
          ]
        }
      }
    }
  ]
}