Exemple : autoriser une identité à accéder à des secrets dotés de balises spécifiques Exemple : autoriser l'accès uniquement aux identités dont les tags correspondent aux tags des secrets

Contrôlez l'accès aux secrets à l'aide du contrôle d'accès basé sur les attributs () ABAC

Le contrôle d'accès basé sur les attributs (ABAC) est une stratégie d'autorisation qui définit les autorisations en fonction des attributs ou des caractéristiques de l'utilisateur, des données ou de l'environnement, tels que le département, l'unité commerciale ou d'autres facteurs susceptibles d'affecter le résultat de l'autorisation. Dans AWS, ces attributs sont appelés balises.

Le fait d'utiliser des balises pour contrôler les autorisations est utile dans les environnements qui connaissent une croissance rapide et pour les cas où la gestion des stratégies devient fastidieuse. ABACles règles sont évaluées dynamiquement lors de l'exécution, ce qui signifie que l'accès des utilisateurs aux applications et aux données ainsi que le type d'opérations autorisées changent automatiquement en fonction des facteurs contextuels de la politique. Par exemple, si un utilisateur change de service, l'accès est automatiquement ajusté sans qu'il soit nécessaire de mettre à jour les autorisations ou de demander de nouveaux rôles. Pour plus d'informations, voir : À quoi ça ABAC sert AWS ? , Définissez les autorisations d'accès aux secrets en fonction des balises. , et adaptez vos besoins d'autorisation pour Secrets Manager à l'ABACaide IAM d'Identity Center.

Exemple : autoriser une identité à accéder à des secrets dotés de balises spécifiques

La politique suivante autorise DescribeSecret l'accès aux secrets dotés d'une étiquette et d'une clé ServerName et la valeur ServerABC. Si vous associez cette politique à une identité, celle-ci est autorisée à accéder à tous les secrets associés à cette étiquette dans le compte.


{
  "Version": "2012-10-17",
  "Statement": {
  "Effect": "Allow",
  "Action": "secretsmanager:DescribeSecret",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "secretsmanager:ResourceTag/ServerName": "ServerABC"
      }
    }
  }
}

Exemple : autoriser l'accès uniquement aux identités dont les tags correspondent aux tags des secrets

La politique suivante permet à toutes les identités du compte GetSecretValue d'accéder à tous les secrets du compte où l'identité est AccessProject le tag a la même valeur que le secret AccessProject étiquette.


{
  "Version": "2012-10-17",
  "Statement": {
  "Effect": "Allow",
  "Principal": {
    "AWS": "123456789012"
  },
  "Condition": {
    "StringEquals": {
      "aws:ResourceTag/AccessProject": "${ aws:PrincipalTag/AccessProject }"
    }
  },
  "Action": "secretsmanager:GetSecretValue",
  "Resource": "*"
  }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Politiques basées sur les ressources

AWS politiques gérées