Allegare una policy di autorizzazione a un segreto AWS Secrets Manager - AWS Secrets Manager
AWS CLIAWS SDK

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Allegare una policy di autorizzazione a un segreto AWS Secrets Manager

In una policy basata sulle risorse, si specifica chi può accedere al segreto e le azioni che è possibile eseguire sul segreto. Le policy basate su risorse possono essere utilizzate per:

  • Concedre l'accesso a più utenti o ruoli ad un singolo segreto.

  • Concedi l'accesso a utenti o ruoli in altri AWS account.

Per informazioni, consulta Esempi di policy in materia di autorizzazioni per AWS Secrets Manager.

Quando si allega una policy basata sulle risorse a un segreto nella console, Secrets Manager utilizza il motore di ragionamento automatico Zelkova e l'API ValidateResourcePolicy per impedirti di concedere a una vasta gamma di entità IAM l'accesso ai tuoi segreti. In alternativa, è possibile chiamare PutResourcePolicy API con BlockPublicPolicy parametro da CLI o SDK.

Importante

La convalida della politica delle risorse e del BlockPublicPolicy parametro aiutano a proteggere le risorse impedendo che l'accesso pubblico venga concesso attraverso le politiche relative alle risorse direttamente collegate ai segreti dell'utente. Oltre a utilizzare queste funzionalità, esamina attentamente le seguenti politiche per verificare che non garantiscano l'accesso pubblico:

  • Politiche basate sull'identità collegate ai AWS principali associati (ad esempio, ruoli IAM)

  • Politiche basate sulle risorse collegate alle AWS risorse associate (ad esempio, () chiavi) AWS Key Management Service AWS KMS

Per rivedere le autorizzazioni relative ai tuoi segreti, consulta. Determinazione di chi ha le autorizzazioni per i segreti

Come visualizzare, modificare o eliminare la policy di risorse per un segreto (console)

  1. Apri la console di Secrets Manager all'indirizzo https://console.aws.amazon.com/secretsmanager/.

  2. Dall'elenco dei segreti, scegli il segreto.

  3. Nella pagina dei dettagli del segreto, nella sezione Panoramica, nella sezione Autorizzazioni risorse, scegli Modifica autorizzazioni.

  4. Nel campo Codice, eseguire una delle operazioni seguenti, quindi scegliere Save (Salva):

    • Per allegare o modificare una policy delle risorse, immettere la policy.

    • Per eliminare la policy, deselezionare il campo del codice.

AWS CLI

Esempio Recupero di una politica sulle risorse

L'esempio di get-resource-policy seguente mostra come recuperare la policy basata su risorse collegata a un segreto.

aws secretsmanager get-resource-policy \
    --secret-id MyTestSecret
Esempio Eliminazione di una policy sulle risorse

L'esempio di delete-resource-policy seguente mostra come eliminare la policy basata su risorse collegata a un segreto.

aws secretsmanager delete-resource-policy \
    --secret-id MyTestSecret
Esempio Aggiunta di una policy sulle risorse

L'esempio di put-resource-policy seguente mostra come aggiungere una policy di autorizzazioni a un segreto, verificando innanzitutto che la policy non fornisca un accesso ampio al segreto. La policy viene letta da un file. Per ulteriori informazioni, consulta Caricamento AWS CLI dei parametri da un file nella Guida per l' AWS CLI utente.

aws secretsmanager put-resource-policy \
    --secret-id MyTestSecret \
    --resource-policy file://mypolicy.json \
    --block-public-policy

Contenuto di mypolicy.json.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/MyRole"
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*"
        }
    ]
}

AWS SDK

Per recuperare la policy collegata a un segreto, utilizzare GetResourcePolicy.

Per eliminare una policy collegata a un segreto, utilizzare DeleteResourcePolicy.

Per collegare una policy a un segreto, utilizzare PutResourcePolicy. Se è già associata una policy, il comando la sostituisce con la nuova policy. La policy deve essere formattata come testo strutturato JSON. Vedere Struttura dei documenti di policy JSON. Utilizzo dell' Esempi di policy in materia di autorizzazioni per AWS Secrets Manager per iniziare a scrivere la tua policy.

Per ulteriori informazioni, consulta AWS SDK.