Controlar el acceso a los secretos mediante el control de acceso basado en atributos (ABAC) - AWS Secrets Manager
Ejemplo: permitir que una identidad acceda a secretos que tengan etiquetas específicasEjemplo: permitir el acceso solo a identidades con etiquetas que coincidan con las etiquetas de los secretos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controlar el acceso a los secretos mediante el control de acceso basado en atributos (ABAC)

El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos basados en atributos o características del usuario, los datos o el entorno, como el departamento, la unidad de negocio u otros factores que podrían afectar el resultado de la autorización. En AWS, estos atributos se denominan etiquetas.

Usar etiquetas para controlar los permisos es útil en entornos que están creciendo rápidamente y ayuda con situaciones en las que la administración de políticas resulta engorrosa. Las reglas del ABAC se evalúan de forma dinámica durante el tiempo de ejecución, lo que significa que el acceso de los usuarios a las aplicaciones y los datos y el tipo de operaciones permitidas cambian automáticamente en función de los factores contextuales de la política. Por ejemplo, si un usuario cambia de departamento, el acceso se ajusta automáticamente sin necesidad de actualizar los permisos ni solicitar nuevas funciones. Para obtener más información, consulte: ¿Qué es ABAC para AWS?, Definición de permisos para acceder a los secretos en función de etiquetas y Ampliar sus necesidades de autorización para Secrets Manager mediante ABAC con IAM Identity Center.

Ejemplo: permitir que una identidad acceda a secretos que tengan etiquetas específicas

La siguiente política permite el acceso de DescribeSecret a secretos que tienen una etiqueta con la clave ServerName y el valor ServerABC. Si adjunta esta política a una identidad, esta tendrá permiso para guardar cualquier secreto de la cuenta que contenga esa etiqueta.

{
  "Version": "2012-10-17",
  "Statement": {
  "Effect": "Allow",
  "Action": "secretsmanager:DescribeSecret",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "secretsmanager:ResourceTag/ServerName": "ServerABC"
      }
    }
  }
}

Ejemplo: permitir el acceso solo a identidades con etiquetas que coincidan con las etiquetas de los secretos

La siguiente política permite que las identidades de la cuenta GetSecretValue accedan a todos los secretos de la cuenta en los que la etiqueta AccessProject de identidad tenga el mismo valor que la etiqueta AccessProject del secreto.

{
  "Version": "2012-10-17",
  "Statement": {
  "Effect": "Allow",
  "Principal": {
    "AWS": "123456789012"
  },
  "Condition": {
    "StringEquals": {
      "aws:ResourceTag/AccessProject": "${ aws:PrincipalTag/AccessProject }"
    }
  },
  "Action": "secretsmanager:GetSecretValue",
  "Resource": "*"
  }
}