本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
防止 AWS Secrets Manager 複製
由於可以使用ReplicateSecretToRegions
或在使用建立密碼時複製密碼 CreateSecret
,因此如果您想要防止使用者複寫密碼,建議您避免包含該AddReplicaRegions
參數的動作。您可以在權限原則中使用Condition
陳述式,僅允許不新增複本區域的動作。如需您可以使用的條件陳述式,請參閱下列政策範例。
範例 防止複寫權限
下列原則範例顯示如何允許所有不新增複本區域的動作。這可防止使用者透過ReplicateSecretToRegions
和CreateSecret
複寫密碼。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:*", "Resource": "*", "Condition": { "Null": { "secretsmanager:AddReplicaRegions": "true" } } } ] }
範例 僅允許特定區域的複寫權限
下列原則顯示如何允許下列所有項目:
無需複寫即可建立密
透過複寫至僅在美國和加拿大的區域建立秘密
僅將秘密複製到美國和加拿大的區域
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:ReplicateSecretToRegions" ], "Resource": "*", "Condition": { "ForAllValues:StringLike": { "secretsmanager:AddReplicaRegions": [ "us-*", "ca-*" ] } } } ] }