Aktionen, Ressourcen und Bedingungsschlüssel für AWS Secrets Manager - Service-Authorization-Referenz

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktionen, Ressourcen und Bedingungsschlüssel für AWS Secrets Manager

AWS Secrets Manager (Dienstpräfix:secretsmanager) stellt die folgenden dienstspezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM Berechtigungsrichtlinien bereit.

Referenzen:

Von AWS Secrets Manager definierte Aktionen

Sie können die folgenden Aktionen im Action Element einer IAM Richtlinienerklärung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, gewähren oder verweigern Sie normalerweise den Zugriff auf den API Vorgang oder CLI Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.

Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie in ARN einer Anweisung mit dieser Aktion einen Ressourcentyp angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Resource Element in einer IAM Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp ein ARN Oder-Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.

Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.

Anmerkung

Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.

Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen

Aktionen Beschreibung Zugriffsebene Ressourcentypen (*erforderlich) Bedingungsschlüssel Abhängige Aktionen
BatchGetSecretValue Gewährt die Berechtigung zum Abrufen und Entschlüsseln einer Liste von Geheimnissen Auflisten
CancelRotateSecret Gewährt die Berechtigung zum Abbrechen einer laufenden Geheimnisdrehung Schreiben

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

aws:ResourceTag/${TagKey}

secretsmanager:SecretPrimaryRegion

CreateSecret Gewährt die Berechtigung zum Erstellen eines Geheimnisses, das verschlüsselte Daten speichert, die abgefragt und gedreht werden können Schreiben

Secret*

secretsmanager:Name

secretsmanager:Description

secretsmanager:KmsKeyId

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

secretsmanager:ResourceTag/tag-key

secretsmanager:AddReplicaRegions

secretsmanager:ForceOverwriteReplicaSecret

DeleteResourcePolicy Gewährt die Berechtigung zum Löschen der Ressourcenrichtlinie, die an ein Geheimnis angefügt ist Berechtigungsverwaltung

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

aws:ResourceTag/${TagKey}

secretsmanager:SecretPrimaryRegion

DeleteSecret Gewährt die Berechtigung zum Löschen eines Geheimnisses Schreiben

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:RecoveryWindowInDays

secretsmanager:ForceDeleteWithoutRecovery

secretsmanager:ResourceTag/tag-key

aws:ResourceTag/${TagKey}

secretsmanager:SecretPrimaryRegion

DescribeSecret Gewährt die Berechtigung zum Abrufen der Metadaten über ein Geheimnis, aber nicht die verschlüsselten Daten Lesen

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

aws:ResourceTag/${TagKey}

secretsmanager:SecretPrimaryRegion

GetRandomPassword Gewährt die Berechtigung zum Generieren einer zufälligen Zeichenfolge zur Verwendung bei der Passworterstellung Lesen
GetResourcePolicy Gewährt die Berechtigung zum Abrufen der Ressourcenrichtlinie, die an ein Geheimnis angefügt ist Lesen

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

aws:ResourceTag/${TagKey}

secretsmanager:SecretPrimaryRegion

GetSecretValue Gewährt die Berechtigung zum Abrufen und Entschlüsseln der verschlüsselten Daten Lesen

Secret*

secretsmanager:SecretId

secretsmanager:VersionId

secretsmanager:VersionStage

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

aws:ResourceTag/${TagKey}

secretsmanager:SecretPrimaryRegion

ListSecretVersionIds Gewährt die Berechtigung zum Auflisten der verfügbaren Versionen eines Geheimnisses Lesen

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

aws:ResourceTag/${TagKey}

secretsmanager:SecretPrimaryRegion

ListSecrets Gewährt die Berechtigung zum Auflisten der verfügbaren Geheimnisse Auflisten
PutResourcePolicy Gewährt die Berechtigung zum Anfügen einer Ressourcenrichtlinie an ein Geheimnis Berechtigungsverwaltung

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

aws:ResourceTag/${TagKey}

secretsmanager:BlockPublicPolicy

secretsmanager:SecretPrimaryRegion

PutSecretValue Gewährt die Berechtigung zum Erstellen einer neuen Version des Geheimnisses mit neuen verschlüsselten Daten Schreiben

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

aws:ResourceTag/${TagKey}

secretsmanager:SecretPrimaryRegion

RemoveRegionsFromReplication Gewährt die Berechtigung zum Entfernen von Regionen aus der Replikation Schreiben

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

aws:ResourceTag/${TagKey}

secretsmanager:SecretPrimaryRegion

ReplicateSecretToRegions Gewährt die Berechtigung zum Konvertieren eines bestehenden Geheimnisses in ein Multi-Region-Geheimnis und zum Starten der Replikation des Geheimnisses in eine Liste neuer Regionen Schreiben

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

aws:ResourceTag/${TagKey}

secretsmanager:SecretPrimaryRegion

secretsmanager:AddReplicaRegions

secretsmanager:ForceOverwriteReplicaSecret

RestoreSecret Gewährt die Berechtigung zum Abbrechen des Löschens eines Geheimnisses Schreiben

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

aws:ResourceTag/${TagKey}

secretsmanager:SecretPrimaryRegion

RotateSecret Gewährt die Berechtigung zum Starten der Drehung eines Geheimnisses Schreiben

Secret*

secretsmanager:SecretId

secretsmanager:RotationLambdaARN

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

aws:ResourceTag/${TagKey}

secretsmanager:SecretPrimaryRegion

secretsmanager:ModifyRotationRules

secretsmanager:RotateImmediately

StopReplicationToReplica Gewährt die Berechtigung zum Entfernen des Geheimnisses aus der Replikation und zum Konvertieren des Geheimnisses in ein regionales Geheimnis in der Replikatregion Schreiben

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

aws:ResourceTag/${TagKey}

secretsmanager:SecretPrimaryRegion

TagResource Gewährt die Berechtigung zum Hinzufügen von Tags zu einem Geheimnis Tagging

Secret*

secretsmanager:SecretId

aws:RequestTag/${TagKey}

aws:TagKeys

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

aws:ResourceTag/${TagKey}

secretsmanager:SecretPrimaryRegion

UntagResource Gewährt die Berechtigung zum Entfernen von Tags aus einem Geheimnis Tagging

Secret*

secretsmanager:SecretId

aws:TagKeys

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

aws:ResourceTag/${TagKey}

secretsmanager:SecretPrimaryRegion

UpdateSecret Gewährt die Berechtigung zum Aktualisieren eines Geheimnisses mit neuen Metadaten oder mit einer neuen Version der verschlüsselten Daten Schreiben

Secret*

secretsmanager:SecretId

secretsmanager:Description

secretsmanager:KmsKeyId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

aws:ResourceTag/${TagKey}

secretsmanager:SecretPrimaryRegion

UpdateSecretVersionStage Gewährt die Berechtigung, eine Stufe von einem Geheimnis zum anderen zu verschieben Schreiben

Secret*

secretsmanager:SecretId

secretsmanager:VersionStage

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

aws:ResourceTag/${TagKey}

secretsmanager:SecretPrimaryRegion

ValidateResourcePolicy Gewährt die Berechtigung zum Validieren einer Ressourcenrichtlinie vor dem Anhängen einer Richtlinie Berechtigungsverwaltung

Secret*

secretsmanager:SecretId

secretsmanager:resource/AllowRotationLambdaArn

secretsmanager:ResourceTag/tag-key

aws:ResourceTag/${TagKey}

secretsmanager:SecretPrimaryRegion

Von AWS Secrets Manager definierte Ressourcentypen

Die folgenden Ressourcentypen werden von diesem Dienst definiert und können im Resource Element von IAM Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle Aktionen identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.

Ressourcentypen ARN Bedingungsschlüssel
Secret arn:${Partition}:secretsmanager:${Region}:${Account}:secret:${SecretId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

secretsmanager:ResourceTag/tag-key

secretsmanager:resource/AllowRotationLambdaArn

Bedingungsschlüssel für AWS Secrets Manager

AWS Secrets Manager definiert die folgenden Bedingungsschlüssel, die im Condition Element einer IAM Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Condition keys (Bedingungsschlüssel).

Eine Liste der globalen Bedingungsschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare globale Bedingungsschlüssel.

Bedingungsschlüssel Beschreibung Typ
aws:RequestTag/${TagKey} Filtert den Zugriff nach einem Schlüssel, der in der Anforderung vorhanden ist, die der Benutzer an den Secrets-Manager-Service sendet String
aws:ResourceTag/${TagKey} Filtert den Zugriff basierend auf den Tags, die der Ressource zugeordnet sind. String
aws:TagKeys Filtert den Zugriff nach der Liste aller Tag-Schlüsselnamen, die in der Anforderung vorhanden sind, die der Benutzer an den Secrets-Manager-Service sendet ArrayOfString
secretsmanager:AddReplicaRegions Filtert den Zugriff nach der Liste der Regionen, in denen das Geheimnis repliziert werden soll ArrayOfString
secretsmanager:BlockPublicPolicy Filtert den Zugriff danach, ob die Ressourcenrichtlinie einen breiten AWS-Konto Zugriff blockiert Bool
secretsmanager:Description Filtert den Zugriff nach dem Beschreibungstext in der Anforderung String
secretsmanager:ForceDeleteWithoutRecovery Filtert den Zugriff basierend darauf, ob das Geheimnis sofort und ohne Wiederherstellungsfenster gelöscht werden soll Bool
secretsmanager:ForceOverwriteReplicaSecret Filtert den Zugriff danach, ob ein Secret mit demselben Namen in der Zielregion überschrieben werden soll Bool
secretsmanager:KmsKeyId Filtert den Zugriff anhand der Schlüssel-ID des KMS Schlüssels in der Anfrage String
secretsmanager:ModifyRotationRules Filtert den Zugriff danach, ob die Rotationsregeln des Secrets geändert werden sollen Bool
secretsmanager:Name Filtert den Zugriff nach dem Anzeigenamen des Geheimnisses in der Anforderung String
secretsmanager:RecoveryWindowInDays Filtert den Zugriff anhand der Anzahl der Tage, die Secrets Manager wartet, bevor das Geheimnis gelöscht werden kann Numerischer Wert
secretsmanager:ResourceTag/tag-key Filtert den Zugriff anhand eines Tag-Schlüssel-Wert-Paares String
secretsmanager:RotateImmediately Filtert den Zugriff danach, ob das Secret sofort rotiert werden soll Bool
secretsmanager:RotationLambdaARN Filtert den Zugriff nach ARN der Lambda-Funktion der Rotation in der Anfrage ARN
secretsmanager:SecretId Filtert den Zugriff durch den SecretID-Wert in der Anforderung ARN
secretsmanager:SecretPrimaryRegion Filtert den Zugriff nach der primären Region, in der das Geheimnis erstellt wird String
secretsmanager:VersionId Filtert den Zugriff nach der eindeutigen Kennung der Geheimnisversion in der Anforderung String
secretsmanager:VersionStage Filtert den Zugriff nach der Liste von Versionsstufen in der Anforderung String
secretsmanager:resource/AllowRotationLambdaArn Filtert den Zugriff durch die ARN Rotations-Lambda-Funktion, die dem Geheimnis zugeordnet ist ARN