Déterminer qui a les autorisations pour vos secrets AWS Secrets Manager - AWS Secrets Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Déterminer qui a les autorisations pour vos secrets AWS Secrets Manager

Par défaut, les identités IAM ne disposent pas de l'autorisation d'accéder à des secrets. Lorsqu'il autorise l'accès à un secret, Secrets Manager évalue la stratégie basée sur une ressource attachée au secret, ainsi que toutes celles basées sur l'identité au rôle ou à l'utilisateur IAM envoyant la demande. Pour ce faire, Secrets Manager utilise un processus similaire à celui décrit dans la rubrique Identification d'une demande autorisée ou refusée dans le Guide de l'utilisateur IAM.

Lorsque plusieurs stratégies s'appliquent à une demande, Secrets Manager utilise une hiérarchie pour contrôler les autorisations :

  1. Si une instruction dans une politique avec un deny explicite correspond à l'action de la demande et à la ressource :

    Le deny explicite remplace tout le reste et bloque l'action.

  2. S'il n'y a pas de deny explicite, mais une instruction avec un allow explicite qui correspond à l'action de la demande et à la ressource :

    Le allow explicite accorde à l'action de la demande l'accès aux ressources de l'instruction.

    Si l'identité et le secret sont dans deux comptes différents, il doit y avoir un allow à la fois dans la stratégie de ressources pour le secret et la stratégie attachée à l'identité, sinon AWS refuse la demande. Pour de plus amples informations, consultez Accès intercomptes.

  3. S'il n'y a pas d'instruction avec un allow explicite qui correspond à l'action de la demande et à la ressource :

    AWS refuse la demande par défaut, qui est appelée Refus implicite.

Pour afficher la stratégie basée sur une ressource pour un secret
Pour déterminer qui a accès par le biais des stratégies basées sur l'identité