翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWSの マネージドポリシーAWS Secrets Manager
AWS管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーですAWS。AWS管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を提供するように設計されています。
AWS管理ポリシーは、すべてのAWSお客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。
AWS管理ポリシーで定義されているアクセス許可は変更できません。がAWSマネージドポリシーで定義されたアクセス許可AWSを更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。AWSは、新しい が起動されるか、新しい API オペレーションAWS のサービスが既存のサービスで使用できるようになったときに、AWSマネージドポリシーを更新する可能性が高くなります。
詳細については、「IAM ユーザーガイド」の「AWSマネージドポリシー」を参照してください。
AWSマネージドポリシー: SecretsManagerReadWrite
このポリシーは、Amazon RDS AWS Secrets Manager、Amazon Redshift、Amazon DocumentDB リソースを記述するアクセス許可、およびシークレットの暗号化と復号AWS KMSに使用するアクセス許可を含む、 への読み取り/書き込みアクセスを提供します。このポリシーは、AWS CloudFormation変更セットの作成、 によって管理される Amazon S3 バケットからのローテーションテンプレートの取得AWS、AWS Lambda関数の一覧表示、Amazon EC2 VPCsの説明を行うアクセス許可も提供します。これらのアクセス許可は、コンソールが既存のローテーション機能を使用してローテーションを設定するために必要です。
新しいローテーション関数を作成するには、AWS CloudFormationスタックとAWS Lambda実行ロールを作成するアクセス許可も必要です。IAMFullAccess マネージドポリシーを割り当てることができます。「ローテーションへのアクセス許可」を参照してください。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
secretsmanager– プリンシパルに Secrets Manager の全アクションの実行を許可します。 -
cloudformation– プリンシパルがCloudFormationスタックを作成できるようにします。これは、 コンソールを使用してローテーションを有効にするプリンシパルがCloudFormationスタックを介して Lambda ローテーション関数を作成できるようにするために必要です。詳細については、「Secrets Manager が を使用する方法 AWS CloudFormation」を参照してください。 -
ec2– プリンシパルに Amazon EC2 VPC の記述を許可します。これは、コンソールを使用するプリンシパルが、シークレットに保存している認証情報のデータベースと同じ VPC 内に、ローテーション関数を作成できるようにするために必要です。 -
kms– プリンシパルが暗号化オペレーションにAWS KMSキーを使用できるようにします。これは、Secrets Manager がシークレットを暗号化および復号できるようにするために必要です。詳細については、「でのシークレットの暗号化と復号 AWS Secrets Manager」を参照してください。 -
lambda– プリンシパルに Lambda ローテーション関数の一覧表示を許可します。これは、コンソールを使用するプリンシパルが、既存のローテーション関数を選択できるようにするために必要です。 -
rds– プリンシパルに Amazon RDS DB のクラスターとインスタンスの記述を許可します。これは、コンソールを使用するプリンシパルが Amazon RDS クラスターまたはインスタンスを選択できるようにするために必要です。 -
redshift– プリンシパルに Amazon Redshift でのクラスターの記述を許可します。これは、コンソールを使用するプリンシパルが Amazon Redshift クラスターを選択できるようにするために必要です。 -
redshift-serverless– プリンシパルが Amazon Redshift Serverless の名前空間を記述できるようにします。これは、コンソールを使用するプリンシパルが Amazon Redshift Serverless 名前空間を選択できるようにするために必要です。 -
docdb-elastic– プリンシパルに Amazon DocumentDB での Elastic クラスターの記述を許可します。これは、コンソールを使用するプリンシパルが、Amazon DocumentDB の Elastic クラスターを選択できるようにするために必要です。 -
tag– プリンシパルに、アカウント内のタグ付けされた全リソースの取得を許可します。 -
serverlessrepo– プリンシパルがCloudFormation変更セットを作成できるようにします。これは、コンソールを使用するプリンシパルが Lambda ローテーション関数を作成できるようにするために必要です。詳細については、「Secrets Manager が を使用する方法 AWS CloudFormation」を参照してください。 -
s3– プリンシパルが、 が管理する Amazon S3 バケットからオブジェクトを取得できるようにしますAWS。このバケットには Lambda ローテーション関数のテンプレート が含まれます。このアクセス許可は、コンソールを使用するプリンシパルがバケット内のテンプレートに基づいて、Lambda ローテーション関数を作成できるようにするために必要です。詳細については、「Secrets Manager が を使用する方法 AWS CloudFormation」を参照してください。
ポリシーを表示するには、SecretsManagerReadWrite の JSON ポリシーのドキュメントを参照してください。
AWSマネージドポリシー: AWSSecretsManagerClientReadOnlyAccess
このポリシーは、クライアントアプリケーションのAWS Secrets Managerシークレットへの読み取り専用アクセスを提供します。これにより、プリンシパルはシークレット値を個別にまたはバッチで取得し、シークレットを一覧表示し、シークレットメタデータを記述できます。また、カスタマーマネージドキーで暗号化されたシークレットを復号するために必要なAWS KMSアクセス許可も付与されます。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
secretsmanager– プリンシパルがシークレット値を個別またはバッチで取得し、シークレットを一覧表示し、シークレットメタデータを記述できるようにします。 -
kms– プリンシパルがAWS KMSキーを使用してシークレットを復号できるようにします。このアクセス許可は、サービス固有の条件を通じて Secrets Manager が使用するキーに限定されます。
JSON ポリシードキュメントの最新バージョンなど、ポリシーの詳細については、「 AWSマネージドポリシーリファレンスガイド」のAWSSecretsManagerClientReadOnlyAccess」を参照してください。
AWSマネージドポリシーに対する Secrets Manager の更新
Secrets Manager のAWS管理ポリシーの更新に関する詳細を表示します。
| 変更 | 説明 | 日付 | バージョン |
|---|---|---|---|
|
AWSSecretsManagerClientReadOnlyAccess – 既存のポリシーの更新 |
このポリシーが更新され、クライアントアプリケーションが 1 回の呼び出しで複数のシークレットを取得できるように |
2026 年 6 月 2 日 | v4 |
|
AWSSecretsManagerClientReadOnlyAccess – 新しい管理ポリシー |
Secrets Manager は、クライアントアプリケーションのシークレットへの読み取り専用アクセスを提供する新しい管理ポリシーを作成しました。このポリシーでは、シークレット値を取得してシークレットメタデータを記述し、シークレットを復号するために必要なAWS KMSアクセス許可を付与します。 |
2025 年 11 月 5 日 | v1 |
|
SecretsManagerReadWrite – 既存のポリシーへの更新 |
このポリシーは、 Amazon Redshift Serverless への記述アクセスを許可するように更新されました。これにより、コンソールユーザーは Amazon Redshift シークレットを作成するときに Amazon Redshift Serverless 名前空間を選択できるようになります。 |
2024 年 3 月 12 日 | v5 |
|
SecretsManagerReadWrite – 既存のポリシーへの更新 |
このポリシーは、Amazon DocumentDB の Elastic クラスターへの記述アクセスを許可するように更新されました。これにより、コンソールユーザーは Amazon DocumentDB シークレットを作成するときに Elastic クラスターを選択できます。 |
2023 年 9 月 12 日 | v4 |
|
SecretsManagerReadWrite – 既存のポリシーへの更新 |
このポリシーは、Amazon Redshift への記述アクセスを許可するように更新されました。これにより、コンソールユーザーは Amazon Redshift シークレットを作成するときに Amazon Redshift クラスターを選択できます。この更新では、Lambda ローテーション関数テンプレートを保存する によって管理AWSされる Amazon S3 バケットへの読み取りアクセスを許可する新しいアクセス許可も追加されました。 |
2020 年 6 月 24 日 | v3 |
|
SecretsManagerReadWrite – 既存のポリシーへの更新 |
このポリシーは、Amazon RDS クラスターへの記述アクセスを許可するように更新されました。これにより、コンソールユーザーは Amazon RDS シークレットを作成するときにクラスターを選択できます。 |
2018 年 5 月 3 日 | v2 |
|
SecretsManagerReadWrite – 新しいポリシー |
Secrets Manager は、Secrets Manager へのすべての読み取り/書き込みアクセスで、コンソールを使用するために必要なアクセス許可を付与するポリシーを作成しました。 |
2018 年 04 月 4 日 | v1 |