Attacher une stratégie d'autorisation à un secret AWS Secrets Manager - AWS Secrets Manager
AWS CLIAWS SDK

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Attacher une stratégie d'autorisation à un secret AWS Secrets Manager

Dans la stratégie basée sur une ressource, vous spécifiez les personnes qui peuvent accéder au secret et les actions qu'elles peuvent exécuter sur celui-ci. Vous pouvez utiliser des stratégies basées sur une ressource pour :

  • Accorder l'accès à un seul secret.à plusieurs utilisateurs ou rôles.

  • Accordez l'accès à des utilisateurs ou à des rôles dans d'autres AWS comptes.

Voir Exemples de politiques d'autorisation pour AWS Secrets Manager.

Lorsque vous attachez une stratégie basée sur une ressource à un secret dans la console, Secrets Manager utilise le moteur de raisonnement automatisé Zelkova et l'API ValidateResourcePolicy pour éviter que vous n'accordiez un accès à vos secrets à un grand nombre de mandataires IAM. Vous pouvez également appeler l'API PutResourcePolicy avec le paramètre BlockPublicPolicy à partir de l'interface de ligne de commande CLI ou SDK.

Important

La validation des politiques de ressources et le BlockPublicPolicy paramètre aident à protéger vos ressources en empêchant l'accès public par le biais des politiques de ressources directement associées à vos secrets. Outre l'utilisation de ces fonctionnalités, examinez attentivement les politiques suivantes pour vous assurer qu'elles n'accordent pas d'accès public :

  • Politiques basées sur l'identité associées aux AWS principaux associés (par exemple, rôles IAM)

  • Politiques basées sur les AWS ressources associées (par exemple, AWS Key Management Service (AWS KMS) clés)

Pour vérifier les autorisations relatives à vos secrets, consultezDéterminer qui a les autorisations pour vos secrets .

Pour afficher, modifier ou supprimer la stratégie de ressources d'un secret (console)

  1. Ouvrez la console Secrets Manager en suivant le lien https://console.aws.amazon.com/secretsmanager/.

  2. Dans la liste des secrets, choisissez le secret.

  3. Sur la page des détails secrets, sous l'onglet Présentation, dans la section Autorisations d'accès aux ressources, choisissez Modifier des autorisations.

  4. Dans le champ de code, suivez une de ces procédures, puis sélectionnez Enregistrer :

    • Pour attacher ou modifier une stratégie de ressource, entrez la stratégie.

    • Pour supprimer la stratégie, désactivez le champ de code.

AWS CLI

Exemple Récupérer une politique de ressources

L'exemple suivant get-resource-policy récupère la politique basée sur les ressources associée à un secret.

aws secretsmanager get-resource-policy \
    --secret-id MyTestSecret
Exemple Supprimer une politique de ressources

L'exemple suivant delete-resource-policy supprime la politique basée sur les ressources associée à un secret.

aws secretsmanager delete-resource-policy \
    --secret-id MyTestSecret
Exemple Ajouter une politique de ressources

L'exemple suivant put-resource-policy ajoute une politique d'autorisations à un secret, en vérifiant d'abord que la politique ne fournit pas un accès étendu au secret. La politique est lue à partir d'un fichier. Pour plus d'informations, consultez la section Chargement de AWS CLI paramètres depuis un fichier dans le Guide de AWS CLI l'utilisateur.

aws secretsmanager put-resource-policy \
    --secret-id MyTestSecret \
    --resource-policy file://mypolicy.json \
    --block-public-policy

Contenu de mypolicy.json :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/MyRole"
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*"
        }
    ]
}

AWS SDK

Pour récupérer la stratégie attachée au secret, utilisez GetResourcePolicy .

Pour supprimer une stratégie attachée à un secret, utilisez DeleteResourcePolicy.

Pour attacher une stratégie à un secret, utilisez PutResourcePolicy. Si une stratégie est déjà attachée, la commande la remplace par la nouvelle stratégie. La stratégie doit avoir le format de texte structuré JSON. Consultez Structure d'un document de stratégie JSON. Utilisez Exemples de politiques d'autorisation pour AWS Secrets Manager pour écrire sur votre stratégie.

Pour plus d'informations, voir AWS SDKs.