Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bestimmen, wer Berechtigungen für Ihre AWS Secrets Manager-Secrets hat
Standardmäßig haben IAM-Identitäten keine Berechtigung für den Zugriff auf Secrets. Bei der Autorisierung des Zugriffs auf ein Secret bewertet der Secrets Manager die dem Secret angefügte Secret-Richtlinie und alle identitätsbasierten Richtlinien, die dem IAM-Benutzer oder der Rolle angefügt sind, der/die die Anforderung sendet. Zu diesem Zweck verwendet der Secrets Manager einen Prozess ähnlich dem in Determining whether a request is allowed or denied (Ermitteln, ob eine Anforderung erlaubt oder verweigert wird im IAM-Benutzerhandbuch beschriebenen.
Wenn mehrere Richtlinien auf eine Anforderung angewendet werden, verwendet Secrets Manager eine Hierarchie zum Steuern von Berechtigungen:
-
Wenn eine Anweisung in einer Richtlinie mit einem expliziten
denyder Anforderungsaktion und Ressource entspricht:Explizite
deny-Codes überschreiben alles andere und blockieren die Aktion. -
Wenn es keinen expliziten
deny-Code gibt aber eine Anweisung mit einem explizitenallow-Code der Anforderungsaktion und Ressource entspricht:Der explizite
allow-Code gewährt der Aktion in der Anforderung Zugriff auf die Ressourcen in der Anweisung.Wenn sich die Identität und das Secret in zwei verschiedenen Konten befinden, muss ein
allow-Code sowohl in der Ressourcenrichtlinie für das Secret als auch in der Richtlinie, die mit der Identität verknüpft ist, vorhanden sein, da AWS ansonsten die Anforderung ablehnt. Weitere Informationen finden Sie unter Kontoübergreifender Zugriff. -
Wenn es keine Anweisung mit einem expliziten
allow-Code gibt, die der Anforderungsaktion und Ressource entspricht:AWS verweigert die Anforderung standardmäßig. Dies wird auch als implizite Zugriffsverweigerung bezeichnet.
Die ressourcenbasierte Richtlinie für ein Secret anzeigen
-
Führen Sie eine der folgenden Aktionen aus:
-
Öffnen Sie die Secrets-Manager-Konsole unter https://console.aws.amazon.com/secretsmanager/
. Klicken Sie auf der Detail-Seite für Ihr Secret im Abschnitt Resource permissions (Ressourcenberechtigungen) auf Edit permissions (Berechtigungen bearbeiten). -
Verwenden der AWS CLI zum Aufruf von
get-resource-policyoder des AWS SDK zum Aufruf vonGetResourcePolicy.
-
Bestimmen, wer über identitätsbasierte Richtlinien Zugriff hat
-
Verwenden Sie den IAM-Richtliniensimulator. Weitere Informationen finden Sie unter Testin IAM policies with the IAM policy simulator (Testen von IAM-Richtlinien mit dem IAM-Richtliniensimulator).
