Steuern Sie den Zugriff auf Geheimnisse mithilfe der attributbasierten Zugriffskontrolle () ABAC - AWS Secrets Manager
Beispiel: Erlauben Sie einer Identität den Zugriff auf Geheimnisse mit bestimmten TagsBeispiel: Erlauben Sie den Zugriff nur für Identitäten mit Tags, die mit den Tags von Geheimnissen übereinstimmen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuern Sie den Zugriff auf Geheimnisse mithilfe der attributbasierten Zugriffskontrolle () ABAC

Bei der attributbasierten Zugriffskontrolle (ABAC) handelt es sich um eine Autorisierungsstrategie, bei der Berechtigungen auf der Grundlage von Attributen oder Merkmalen des Benutzers, der Daten oder der Umgebung, z. B. der Abteilung, Geschäftseinheit oder anderer Faktoren, die das Autorisierungsergebnis beeinflussen könnten, definiert werden. In werden AWS diese Attribute als Tags bezeichnet.

Die Verwendung von Tags zur Kontrolle von Berechtigungen in Umgebungen, die schnell wachsen, ist hilfreich und unterstützt Sie in Situationen, in denen die Richtlinienverwaltung mühsam wird. ABACRegeln werden zur Laufzeit dynamisch ausgewertet, was bedeutet, dass sich der Zugriff der Benutzer auf Anwendungen und Daten sowie die Art der erlaubten Operationen automatisch auf der Grundlage der Kontextfaktoren in der Richtlinie ändern. Wenn ein Benutzer beispielsweise die Abteilung wechselt, wird der Zugriff automatisch angepasst, ohne dass die Berechtigungen aktualisiert oder neue Rollen angefordert werden müssen. Weitere Informationen finden Sie unter: Wozu ABAC dient es AWS? , Definieren Sie Berechtigungen für den Zugriff auf geheime Daten auf der Grundlage von Tags. , und skalieren Sie Ihre Autorisierungsanforderungen für Secrets Manager in ABAC Verbindung mit IAM Identity Center.

Beispiel: Erlauben Sie einer Identität den Zugriff auf Geheimnisse mit bestimmten Tags

Die folgende Richtlinie ermöglicht DescribeSecret den Zugriff auf Geheimnisse mit einem Tag mit dem Schlüssel ServerName und der Wert ServerABC. Wenn Sie diese Richtlinie mit einer Identität verknüpfen, hat die Identität Zugriff auf alle Geheimnisse, die mit diesem Tag im Konto verknüpft sind.

{
  "Version": "2012-10-17",
  "Statement": {
  "Effect": "Allow",
  "Action": "secretsmanager:DescribeSecret",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "secretsmanager:ResourceTag/ServerName": "ServerABC"
      }
    }
  }
}

Beispiel: Erlauben Sie den Zugriff nur für Identitäten mit Tags, die mit den Tags von Geheimnissen übereinstimmen

Die folgende Richtlinie ermöglicht allen Identitäten im Konto den GetSecretValue Zugriff auf alle Geheimnisse im Konto, in denen sich die Identität befindet AccessProject Der Tag hat den gleichen Wert wie der des Geheimnisses AccessProject Tag.

{
  "Version": "2012-10-17",
  "Statement": {
  "Effect": "Allow",
  "Principal": {
    "AWS": "123456789012"
  },
  "Condition": {
    "StringEquals": {
      "aws:ResourceTag/AccessProject": "${ aws:PrincipalTag/AccessProject }"
    }
  },
  "Action": "secretsmanager:GetSecretValue",
  "Resource": "*"
  }
}