Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Política administrada de AWS para AWS Secrets Manager
Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.
Considere que es posible que las políticas administradas de AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.
No puede cambiar los permisos definidos en las políticas administradas de AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está adjunta la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.
Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
Política administrada de AWS: SecretsManagerReadWrite
Esta política proporciona acceso de lectura y escritura a AWS Secrets Manager, incluyendo permiso para describir recursos de Amazon RDS, Amazon Redshift y Amazon DocumentDB, así como permiso para utilizar AWS KMS para cifrar y descifrar secretos. Además, esta política también proporciona permiso para crear conjuntos de cambios de AWS CloudFormation, obtener plantillas de rotación de un bucket de Amazon S3 administrado por AWS, enumerar funciones de AWS Lambda y describir VPC de Amazon EC2. La consola necesita estos permisos para configurar la rotación con las funciones de rotación existentes.
Para crear nuevas funciones de rotación, también debe tener permiso para crear pilas de AWS CloudFormation y roles de ejecución de AWS Lambda. Puede asignar la política administrada IAMFullAccess. Consulte Permisos para rotación.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
secretsmanager: permite a las entidades principales realizar todas las acciones de Secrets Manager. -
cloudformation: permite a las entidades principales crear pilas de AWS CloudFormation. Esto es necesario para que las entidades principales que utilicen la consola para activar la rotación puedan crear funciones de rotación de Lambda a través de pilas de AWS CloudFormation. Para obtener más información, consulte Cómo Secrets Manager utiliza AWS CloudFormation. -
ec2: permite a las entidades principales describir VPC de Amazon EC2. Esto es necesario para que las entidades principales que utilicen la consola puedan crear funciones de rotación en la misma VPC que la base de datos de las credenciales que están almacenando en un secreto. -
kms: permite a las entidades principales utilizar claves de AWS KMS para operaciones criptográficas. Esto es necesario para que Secrets Manager pueda cifrar y descifrar secretos. Para obtener más información, consulte Cifrado y descifrado de secretos en AWS Secrets Manager. -
lambda: permite a las entidades principales enumerar funciones de rotación de Lambda. Esto es necesario para que las entidades principales que utilicen la consola puedan seleccionar funciones de rotación existentes. -
rds: permite a las entidades principales describir clústeres e instancias de Amazon RDS. Esto es necesario para que las entidades principales que utilicen la consola puedan seleccionar clústeres o instancias de Amazon RDS. -
redshift: permite a las entidades principales describir clústeres de Amazon Redshift. Esto es necesario para que las entidades principales que utilicen la consola puedan seleccionar clústeres de Amazon Redshift. -
redshift-serverless: permite a las entidades principales describir los espacios de nombres de Amazon Redshift sin servidor. Esto es necesario para que las entidades principales que utilicen la consola puedan seleccionar espacios de nombres de Amazon Redshift sin servidor. -
docdb-elastic: permite a las entidades principales describir clústeres elásticos de Amazon DocumentDB. Esto es necesario para que las entidades principales que utilicen la consola puedan seleccionar clústeres elásticos de Amazon DocumentDB. -
tag: permite a las entidades principales obtener todos los recursos de la cuenta que estén etiquetados. -
serverlessrepo: permite a las entidades principales crear conjuntos de cambios de AWS CloudFormation. Esto es necesario para que las entidades principales que utilicen la consola puedan crear funciones de rotación de Lambda. Para obtener más información, consulte Cómo Secrets Manager utiliza AWS CloudFormation. -
s3: permite a las entidades principales obtener objetos de un bucket de Amazon S3 administrado por AWS. Este bucket contiene Plantillas de función de rotación de Lambda. Este permiso es necesario para que las entidades principales que utilicen la consola puedan crear funciones de rotación de Lambda basadas en las plantillas del bucket. Para obtener más información, consulte Cómo Secrets Manager utiliza AWS CloudFormation.
Para ver la política, consulte el documento de política JSON de SecretsManagerReadWrite.
Actualizaciones de Secrets Manager para políticas administradas de AWS
Vea detalles sobre las actualizaciones de las políticas administradas de AWS para Secrets Manager.
| Cambio | Descripción | Fecha | Versión |
|---|---|---|---|
|
SecretsManagerReadWrite: actualización de una política existente |
Esta política se actualizó para permitir que se describa el acceso a Amazon Redshift sin servidor de modo que los usuarios de la consola puedan seleccionar un espacio de nombres de Amazon Redshift sin servidor cuando crean un secreto de Amazon Redshift. |
12 de marzo de 2024 | v5 |
|
SecretsManagerReadWrite: actualización de una política existente |
Esta política se actualizó para permitir describir el acceso a clústeres elásticos de Amazon DocumentDB de modo que los usuarios de la consola puedan seleccionar un clúster elástico al crear un secreto de Amazon DocumentDB. |
12 de septiembre de 2023 | v4 |
|
SecretsManagerReadWrite: actualización de una política existente |
Esta política se actualizó para permitir describir el acceso a Amazon Redshift de modo que los usuarios de la consola puedan seleccionar un clúster de Amazon Redshift al crear un secreto de Amazon Redshift. La actualización también incorporó nuevos permisos para permitir acceso de lectura a un bucket de Amazon S3 administrado por AWS que almacene las plantillas de funciones de rotación de Lambda. |
24 de junio de 2020 | v3 |
|
SecretsManagerReadWrite: actualización de una política existente |
Esta política se actualizó para permitir describir el acceso a clústeres de Amazon RDS de modo que los usuarios de la consola puedan seleccionar un clúster al crear un secreto de Amazon RDS. |
3 de mayo de 2018 | v2 |
|
SecretsManagerReadWrite: nueva política |
Secrets Manager creó una política para conceder los permisos que sean necesarios para utilizar la consola con todos los accesos de lectura/escritura a Secrets Manager. |
04 de abril de 2018 | v1 |
