Determinazione di chi ha le autorizzazioni per i segreti AWS Secrets Manager - AWS Secrets Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Determinazione di chi ha le autorizzazioni per i segreti AWS Secrets Manager

Per impostazione predefinita, le identità IAM non dispongono dell'autorizzazione per accedere ai segreti. Quando si autorizza l'accesso a un segreto, Secret Manager valuta la policy basata su risorse collegata al segreto e tutte le policy basato sull'identità collegate all'utente IAM o al ruolo da cui proviene la richiesta. Per eseguire questa operazione, Secret Manager utilizza un processo simile a quello descritto in Determinare se una richiesta è consentita o rifiutata nella Guida per l'utente IAM.

Quando a una richiesta si applicano varie policy, Gestione dei segreti utilizza una gerarchia per controllare le autorizzazioni:

  1. Se una dichiarazione in qualsiasi politica con un esplicito deny corrisponde all'azione della richiesta e alla risorsa:

    L'esplicito deny sovrascrive tutto il resto e blocca l'azione.

  2. Se non c'è esplicito deny, ma una dichiarazione con un esplicito allow corrisponde all'azione della richiesta e alla risorsa:

    L'esplicito allow concede l'azione nella richiesta di accesso alle risorse nell'istruzione.

    Se l'identità e il segreto si trovano in due account diversi, deve esserci un allow sia nella politica delle risorse per il segreto che nella politica associata all'identità, altrimenti AWS rifiuta la richiesta. Per ulteriori informazioni, consulta Accesso multi-account.

  3. Se non vi è alcuna dichiarazione con un esplicito allow che corrisponde all'azione di richiesta e alla risorsa:

    AWS nega la richiesta per impostazione predefinita, che viene chiamata implicito diniego.

Per visualizzare le policy basate sulle risorse per un segreto
Per determinare chi ha accesso tramite policy basate sull'identità