Kontrol akses ke rahasia menggunakan kontrol akses berbasis atribut () ABAC - AWS Secrets Manager
Contoh: Izinkan akses identitas ke rahasia yang memiliki tag tertentuContoh: Izinkan akses hanya ke identitas dengan tag yang cocok dengan tag rahasia

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol akses ke rahasia menggunakan kontrol akses berbasis atribut () ABAC

Attribute-based access control (ABAC) adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut atau karakteristik pengguna, data, atau lingkungan, seperti departemen, unit bisnis, atau faktor lain yang dapat mempengaruhi hasil otorisasi. Dalam AWS, atribut ini disebut tag.

Menggunakan tag untuk mengontrol izin sangat membantu di lingkungan yang berkembang pesat dan membantu situasi di mana manajemen kebijakan menjadi rumit. ABACaturan dievaluasi secara dinamis saat runtime, yang berarti bahwa akses pengguna ke aplikasi dan data dan jenis operasi yang diizinkan secara otomatis berubah berdasarkan faktor kontekstual dalam kebijakan. Misalnya, jika pengguna mengubah departemen, akses secara otomatis disesuaikan tanpa perlu memperbarui izin atau meminta peran baru. Untuk informasi lebih lanjut, lihat: ABACUntuk apa AWS? , Tentukan izin untuk mengakses rahasia berdasarkan tag. , dan Skalakan kebutuhan otorisasi Anda untuk Secrets Manager menggunakan ABAC dengan IAM Identity Center.

Contoh: Izinkan akses identitas ke rahasia yang memiliki tag tertentu

Kebijakan berikut memungkinkan DescribeSecret akses pada rahasia dengan tag dengan kunci ServerName dan nilainya ServerABC. Jika Anda melampirkan kebijakan ini ke identitas, identitas tersebut memiliki izin untuk rahasia apa pun dengan tag tersebut di akun.

{
  "Version": "2012-10-17",
  "Statement": {
  "Effect": "Allow",
  "Action": "secretsmanager:DescribeSecret",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "secretsmanager:ResourceTag/ServerName": "ServerABC"
      }
    }
  }
}

Contoh: Izinkan akses hanya ke identitas dengan tag yang cocok dengan tag rahasia

Kebijakan berikut memungkinkan identitas apa pun di akun GetSecretValue akses ke rahasia apa pun di akun tempat identitas AccessProject tag memiliki nilai yang sama dengan rahasia AccessProject tag.

{
  "Version": "2012-10-17",
  "Statement": {
  "Effect": "Allow",
  "Principal": {
    "AWS": "123456789012"
  },
  "Condition": {
    "StringEquals": {
      "aws:ResourceTag/AccessProject": "${ aws:PrincipalTag/AccessProject }"
    }
  },
  "Action": "secretsmanager:GetSecretValue",
  "Resource": "*"
  }
}