Tentukan siapa yang memiliki izin untuk rahasia Anda AWS Secrets Manager - AWS Secrets Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tentukan siapa yang memiliki izin untuk rahasia Anda AWS Secrets Manager

Secara default, identitas IAM tidak memiliki izin untuk mengakses rahasia. Saat mengotorisasi akses ke rahasia, Secrets Manager mengevaluasi kebijakan berbasis sumber daya yang dilampirkan pada rahasia dan semua kebijakan berbasis identitas yang dilampirkan pada pengguna IAM atau peran yang mengirim permintaan. Untuk melakukan ini, Secrets Manager menggunakan proses yang mirip dengan yang dijelaskan dalam Menentukan apakah permintaan diizinkan atau ditolak dalam Panduan Pengguna IAM.

Jika beberapa kebijakan berlaku untuk permintaan, Secrets Manager menggunakan hierarki untuk mengontrol izin:

  1. Jika pernyataan dalam kebijakan apa pun dengan eksplisit deny cocok dengan tindakan permintaan dan sumber daya:

    Eksplisit deny mengesampingkan semua yang lain dan memblokir tindakan.

  2. Jika tidak ada eksplisitdeny, tetapi pernyataan dengan eksplisit allow cocok dengan tindakan permintaan dan sumber daya:

    Eksplisit allow memberikan tindakan dalam permintaan akses ke sumber daya dalam pernyataan.

    Jika identitas dan rahasia ada dalam dua akun yang berbeda, harus ada kebijakan sumber daya untuk rahasia dan kebijakan yang dilampirkan pada identitas, jika tidak AWS menolak permintaan tersebut. allow Untuk informasi selengkapnya, lihat Akses lintas akun.

  3. Jika tidak ada pernyataan dengan eksplisit allow yang cocok dengan tindakan permintaan dan sumber daya:

    AWSmenolak permintaan secara default, yang disebut penolakan implisit.

Untuk melihat kebijakan berbasis sumber daya untuk rahasia
Untuk menentukan siapa yang memiliki akses melalui kebijakan berbasis identitas