Impedire la AWS Secrets Manager replica - AWS Secrets Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impedire la AWS Secrets Manager replica

Poiché i segreti possono essere replicati utilizzando ReplicateSecretToRegionso quando vengono creati utilizzando CreateSecret, se desideri impedire agli utenti di replicare i segreti, ti consigliamo di impedire le azioni che contengono il parametro. AddReplicaRegions È possibile utilizzare un'Conditionistruzione nelle politiche di autorizzazione per consentire solo azioni che non aggiungono aree di replica. Consulta i seguenti esempi di policy per le istruzioni Condition che puoi utilizzare.

Esempio Impedisci l'autorizzazione alla replica

Il seguente esempio di policy mostra come consentire tutte le azioni che non aggiungono aree di replica. Ciò impedisce agli utenti di replicare i segreti tramite entrambi ReplicateSecretToRegions e. CreateSecret

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:*",
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:AddReplicaRegions": "true"
        }
      }
    }
  ]
}
Esempio Consenti l'autorizzazione di replica solo a regioni specifiche

La seguente politica mostra come consentire tutte le seguenti operazioni:

  • Crea segreti senza repliche

  • Crea segreti con replica nelle regioni solo negli Stati Uniti e in Canada

  • Replica i segreti nelle regioni solo negli Stati Uniti e in Canada 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:ReplicateSecretToRegions"
      ],
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringLike": {
          "secretsmanager:AddReplicaRegions": [
            "us-*",
            "ca-*"
          ]
        }
      }
    }
  ]
}