Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Riferimento alle autorizzazioni per AWS Secrets Manager
Per visualizzare gli elementi che costituiscono una policy di autorizzazioni, consulta Struttura dei documenti di policy JSON e Riferimento agli elementi delle policy JSON IAM.
Per iniziare a scrivere la propria policy di autorizzazione, vedere Esempi di policy in materia di autorizzazioni per AWS Secrets Manager.
La colonna Tipi di risorsa della tabella Operazioni indica se ogni operazione supporta le autorizzazioni a livello di risorsa. Se non vi è nessun valore in corrispondenza di questa colonna, è necessario specificare tutte le risorse ("*") alle quali si applica la policy nell'elemento Resource dell'istruzione di policy. Se la colonna include un tipo di risorsa, puoi specificare un ARN di quel tipo in una istruzione con tale operazione. Se l'operazione ha una o più risorse richieste, il chiamante deve disporre dell'autorizzazione per utilizzare l'operazione con tali risorse. Le risorse richieste sono indicate nella tabella con un asterisco (*). Se si limita l'accesso alle risorse con l'elemento Resource in una policy IAM, è necessario includere un ARN o un modello per ogni tipo di risorsa richiesta. Alcune operazioni supportano più tipi di risorse. Se il tipo di risorsa è facoltativo (non indicato come obbligatorio), puoi scegliere di utilizzare uno tra i tipi di risorsa facoltativi.
La colonna Chiavi di condizione della tabella Operazioni contiene le chiavi che è possibile specificare nell'elemento Condition di un'istruzione di policy. Per ulteriori informazioni sulle chiavi di condizione associate alle risorse per il servizio guarda la colonna Chiavi di condizione della tabella Tipi di risorsa.
Operazioni di Secrets Manager
| Azioni | Descrizione | Livello di accesso | Tipi di risorsa (*obbligatorio) | Chiavi di condizione | Operazioni dipendenti |
|---|---|---|---|---|---|
| BatchGetSecretValue | Concede l'autorizzazione per recuperare e decrittare un elenco di segreti | Elenco | |||
| CancelRotateSecret | Concede l'autorizzazione per annullare una rotazione di segreti in avanzamento | Scrittura | |||
|
secretsmanager:resource/AllowRotationLambdaArn |
|||||
| CreateSecret | Concede l'autorizzazione per creare un segreto che memorizza dati crittografati su cui è possibile effettuare query e rotazioni | Scrittura | |||
|
secretsmanager:ResourceTag/tag-key |
|||||
| DeleteResourcePolicy | Concede l'autorizzazione per eliminare la policy della risorsa collegata a un segreto | Gestione delle autorizzazioni | |||
|
secretsmanager:resource/AllowRotationLambdaArn |
|||||
| DeleteSecret | Concede l'autorizzazione per eliminare un segreto | Scrittura | |||
|
secretsmanager:resource/AllowRotationLambdaArn secretsmanager:RecoveryWindowInDays secretsmanager:ForceDeleteWithoutRecovery |
|||||
| DescribeSecret | Concede l'autorizzazione per recuperare i metadati di un segreto, ma non i dati crittografati | Lettura | |||
|
secretsmanager:resource/AllowRotationLambdaArn |
|||||
| GetRandomPassword | Concede l'autorizzazione per generare una stringa casuale da usare per la creazione di password | Lettura | |||
| GetResourcePolicy | Concede l'autorizzazione per ottenere la policy della risorsa collegata a un segreto | Lettura | |||
|
secretsmanager:resource/AllowRotationLambdaArn |
|||||
| GetSecretValue | Concede l'autorizzazione per recuperare e decrittare i dati crittografati | Lettura | |||
|
secretsmanager:resource/AllowRotationLambdaArn |
|||||
| ListSecretVersionIds | Concede l'autorizzazione per elencare le versioni disponibili di un segreto | Lettura | |||
|
secretsmanager:resource/AllowRotationLambdaArn |
|||||
| ListSecrets | Concede l'autorizzazione per elencare i segreti disponibili | Elenco | |||
| PutResourcePolicy | Concede l'autorizzazione per allegare una policy della risorsa a un segreto | Gestione delle autorizzazioni | |||
|
secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key |
|||||
| PutSecretValue | Concede l'autorizzazione per creare una nuova versione del segreto con i nuovi dati crittografati | Scrittura | |||
|
secretsmanager:resource/AllowRotationLambdaArn |
|||||
| RemoveRegionsFromReplication | Concede l'autorizzazione a rimuovere le regioni dalla replica | Scrittura | |||
|
secretsmanager:resource/AllowRotationLambdaArn |
|||||
| ReplicateSecretToRegions | Concede l'autorizzazione a convertire un segreto esistente in un segreto multiregionale e a iniziare a replicare il segreto in un elenco di nuove regioni | Scrittura | |||
|
secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key secretsmanager:SecretPrimaryRegion |
|||||
| RestoreSecret | Concede l'autorizzazione per annullare l'eliminazione di un segreto | Scrittura | |||
|
secretsmanager:resource/AllowRotationLambdaArn |
|||||
| RotateSecret | Concede l'autorizzazione per avviare la rotazione di un segreto | Scrittura | |||
|
secretsmanager:RotationLambdaARN secretsmanager:resource/AllowRotationLambdaArn secretsmanager:ResourceTag/tag-key secretsmanager:SecretPrimaryRegion |
|||||
| StopReplicationToReplica | Concede l'autorizzazione per rimuovere il segreto dalla replica e promuoverlo a segreto regionale nella regione della replica | Scrittura | |||
|
secretsmanager:resource/AllowRotationLambdaArn |
|||||
| TagResource | Concede l'autorizzazione per aggiungere tag a un segreto | Assegnazione di tag | |||
|
secretsmanager:resource/AllowRotationLambdaArn |
|||||
| UntagResource | Concede l'autorizzazione per rimuovere tag da un segreto | Assegnazione di tag | |||
|
secretsmanager:resource/AllowRotationLambdaArn |
|||||
| UpdateSecret | Concede l'autorizzazione per aggiornare un segreto con nuovi metadati o con una nuova versione dei dati crittografati | Scrittura | |||
|
secretsmanager:resource/AllowRotationLambdaArn |
|||||
| UpdateSecretVersionStage | Concede l'autorizzazione per spostare una fase da un segreto a un altro | Scrittura | |||
|
secretsmanager:resource/AllowRotationLambdaArn |
|||||
| ValidateResourcePolicy | Concede l'autorizzazione a convalidare una politica delle risorse prima di allegare una politica | Gestione delle autorizzazioni | |||
|
secretsmanager:resource/AllowRotationLambdaArn |
Risorse di Secrets Manager
| Tipi di risorsa | ARN | Chiavi di condizione |
|---|---|---|
| Secret |
arn:${Partition}:secretsmanager:${Region}:${Account}:secret:${SecretId}
|
Secrets Manager genera l'ultima parte dell'ARN segreto aggiungendo un trattino e sei caratteri alfanumerici casuali alla fine del nome del segreto. Se elimini un segreto e ne ricrei un altro con lo stesso nome, questa formattazione garantisce che gli utenti con autorizzazioni di accesso al segreto originale non ottengono automaticamente l'accesso al nuovo segreto perché Secrets Manager genera sei nuovi caratteri casuali.
È possibile trovare l'ARN per un segreto nella console di Secrets Manager nella pagina dei dettagli segreti o chiamando DescribeSecret.
Chiavi di condizione
Se si includono condizioni di stringa dalla tabella seguente nella policy delle autorizzazioni, i chiamanti di Secrets Manager devono specificare il parametro corrispondente oppure l'accesso viene negato. Per evitare la negazione dell'accesso ai chiamanti per un parametro mancante, aggiungi IfExists alla fine del nome operatore di condizione, ad esempio StringLikeIfExists. Per ulteriori informazioni, consulta Elementi della policy JSON IAM: operatori di condizione.
| Chiavi di condizione | Descrizione | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra l'accesso in base a una chiave presente nella richiesta effettuata dall'utente al servizio Secrets Manager | Stringa |
| aws:ResourceTag/${TagKey} | Filtra l'accesso per i tag associati alla risorsa | Stringa |
| aws:TagKeys | Filtra l'accesso in base all'elenco di tutti i nomi delle chiavi di tag presenti nella richiesta effettuata dall'utente al servizio Secrets Manager | ArrayOfString |
| secretsmanager:AddReplicaRegions | Filtra l'accesso in base all'elenco delle regioni in cui replicare il segreto | ArrayOfString |
| secretsmanager:BlockPublicPolicy | Filtra l'accesso in base al fatto che la politica delle risorse blocchi l'accesso più ampio Account AWS | Bool |
| secretsmanager:Description | Filtra l'accesso in base al testo di descrizione nella richiesta | Stringa |
| secretsmanager:ForceDeleteWithoutRecovery | Filtra l'accesso in base al fatto che il segreto debba essere eliminato immediatamente senza alcuna finestra di ripristino | Bool |
| secretsmanager:ForceOverwriteReplicaSecret | Filtra l'accesso in base alla sovrascrittura di un segreto con lo stesso nome nella regione di destinazione | Bool |
| secretsmanager:KmsKeyId | Filtra l'accesso in base all'ARN della chiave di KMS nella richiesta | Stringa |
| secretsmanager:ModifyRotationRules | Filtra l'accesso in base al fatto che le regole di rotazione del segreto debbano essere modificate | Bool |
| secretsmanager:Name | Filtra l'accesso in base al nome descrittivo del segreto nella richiesta | Stringa |
| secretsmanager:RecoveryWindowInDays | Filtra l'accesso in base al numero di giorni che Secrets Manager attende prima di eliminare il segreto | Numerico |
| secretsmanager:ResourceTag/tag-key | Filtra l'accesso in base a una coppia chiave/valore di tag | Stringa |
| secretsmanager:RotateImmediately | Filtra l'accesso in base al fatto che il segreto debba essere ruotato immediatamente | Bool |
| secretsmanager:RotationLambdaARN | Filtra l'accesso in base all'ARN della funzione Lambda di rotazione nella richiesta | ARN |
| secretsmanager:SecretId | Filtra l'accesso in base al valore SecretID nella richiesta | ARN |
| secretsmanager:SecretPrimaryRegion | Filtra l'accesso in base alla regione principale in cui viene creato il segreto | Stringa |
| secretsmanager:VersionId | Filtra l'accesso in base all'identificatore univoco della versione del segreto nella richiesta | Stringa |
| secretsmanager:VersionStage | Filtra l'accesso in base all'elenco delle fasi della versione nella richiesta | Stringa |
| secretsmanager:resource/AllowRotationLambdaArn | Filtra l'accesso in base all'ARN della funzione Lambda di rotazione associata al segreto | ARN |
Blocca un accesso ampio ai segreti con la condizione BlockPublicPolicy
Nelle policy di identità che consentono l'operazione PutResourcePolicy, si consiglia di utilizzare BlockPublicPolicy: true. Con questa condizione gli utenti possono allegare una policy delle risorse a un segreto se tale policy non consente un accesso ampio.
Secrets Manager utilizza il ragionamento automatizzato di Zelkova per analizzare le policy delle risorse per un accesso ampio. Per ulteriori informazioni su Zelkova, vedi Come AWS utilizza il ragionamento automatico per aiutarti a raggiungere la sicurezza su larga scala sul AWS Security
L'esempio seguente mostra come utilizzare BlockPublicPolicy.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "secretsmanager:PutResourcePolicy", "Resource": "SecretId", "Condition": { "Bool": { "secretsmanager:BlockPublicPolicy": "true" } } } }
Condizioni indirizzo IP
Fai attenzione quando specifichi gli operatori di condizione con indirizzo IP o la chiave di condizione aws:SourceIp nella stessa istruzione di policy che consente o rifiuta l'accesso a Secrets Manager. Ad esempio, se alleghi una policy che limita AWS le azioni alle richieste provenienti dall'intervallo di indirizzi IP della rete aziendale a un indirizzo segreto, le tue richieste come utente IAM che richiama la richiesta dalla rete aziendale funzioneranno come previsto. Tuttavia, se abiliti altri servizi ad accedere al segreto per tuo conto, ad esempio quando abiliti la rotazione con una funzione Lambda, quella funzione richiama le operazioni di Secrets Manager da uno spazio di indirizzi AWS interno. Le richieste influenzate dalla policy con il filtro degli indirizzi IP non vanno a buon fine.
Inoltre, la chiave di condizione aws:sourceIP diventa meno efficace quando la richiesta proviene da un endpoint Amazon VPC. Per limitare le richieste a un determinato endpoint VPC, utilizza Condizioni dell'endpoint VPC.
Condizioni dell'endpoint VPC
Per consentire o negare l'accesso alle richieste provenienti da un determinato VPC o endpoint VPC, utilizza aws:SourceVpc per limitare l'accesso alle richieste dal VPC specificato o aws:SourceVpce per limitare l'accesso alle richieste dall'endpoint VPC specificato. Per informazioni, consulta Esempio: autorizzazioni e VPC.
-
aws:SourceVpclimita l'accesso alle richieste dal VPC specificato. -
aws:SourceVpcelimita l'accesso alle richieste dall'endpoint VPC specificato.
Se si utilizzano queste chiavi di condizione in una istruzione di policy di risorsa che consente o rifiuta l'accesso ai segreti Secrets Manager puoi inavvertitamente negare l'accesso ai servizi che utilizzano Secrets Manager per accedere ai segreti a tuo nome. Solo alcuni AWS servizi possono essere eseguiti con un endpoint all'interno del tuo VPC. Se limiti le richieste di un segreto a un VPC o endpoint VPC, le chiamate a Secrets Manager da un servizio non configurato per il servizio possono non andare a buon fine.
Per informazioni, consulta Utilizzo di un endpoint VPC AWS Secrets Manager.
