翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS の マネージドポリシー AWS Secrets Manager
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS 管理ポリシーを更新する可能性が高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
## AWS マネージドポリシー: SecretsManagerReadWrite
このポリシーは、Amazon RDS AWS Secrets Manager、Amazon Redshift、Amazon DocumentDB リソースを記述するアクセス許可、およびシークレットの暗号化と復号 AWS KMS に使用するアクセス許可を含む、 への読み取り/書き込みアクセスを提供します。このポリシーは、 AWS CloudFormation 変更セットの作成、 によって管理される Amazon S3 バケットからのローテーションテンプレートの取得 AWS、 AWS Lambda 関数の一覧表示、Amazon EC2 VPCsの説明を行うアクセス許可も提供します。これらのアクセス許可は、コンソールが既存のローテーション機能を使用してローテーションを設定するために必要です。
新しいローテーション関数を作成するには、 AWS CloudFormation スタックと AWS Lambda 実行ロールを作成するアクセス許可も必要です。[IAMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IAMFullAccess.html) マネージドポリシーを割り当てることができます。「[ローテーションへのアクセス許可](rotating-secrets-required-permissions-function.md)」を参照してください。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `secretsmanager` – プリンシパルに Secrets Manager の全アクションの実行を許可します。
+ `cloudformation` – プリンシパルが CloudFormation スタックを作成できるようにします。これは、 コンソールを使用してローテーションを有効にするプリンシパルが CloudFormation スタックを介して Lambda ローテーション関数を作成できるようにするために必要です。詳細については、「[Secrets Manager が を使用する方法 AWS CloudFormation](cloudformation.md#how-asm-uses-cfn)」を参照してください。
+ `ec2` – プリンシパルに Amazon EC2 VPC の記述を許可します。これは、コンソールを使用するプリンシパルが、シークレットに保存している認証情報のデータベースと同じ VPC 内に、ローテーション関数を作成できるようにするために必要です。
+ `kms` – プリンシパルが暗号化オペレーションに AWS KMS キーを使用できるようにします。これは、Secrets Manager がシークレットを暗号化および復号できるようにするために必要です。詳細については、「[でのシークレットの暗号化と復号 AWS Secrets Manager](security-encryption.md)」を参照してください。
+ `lambda` – プリンシパルに Lambda ローテーション関数の一覧表示を許可します。これは、コンソールを使用するプリンシパルが、既存のローテーション関数を選択できるようにするために必要です。
+ `rds` – プリンシパルに Amazon RDS DB のクラスターとインスタンスの記述を許可します。これは、コンソールを使用するプリンシパルが Amazon RDS クラスターまたはインスタンスを選択できるようにするために必要です。
+ `redshift` – プリンシパルに Amazon Redshift でのクラスターの記述を許可します。これは、コンソールを使用するプリンシパルが Amazon Redshift クラスターを選択できるようにするために必要です。
+ `redshift-serverless` – プリンシパルが Amazon Redshift Serverless の名前空間を記述できるようにします。これは、コンソールを使用するプリンシパルが Amazon Redshift Serverless 名前空間を選択できるようにするために必要です。
+ `docdb-elastic` – プリンシパルに Amazon DocumentDB での Elastic クラスターの記述を許可します。これは、コンソールを使用するプリンシパルが、Amazon DocumentDB の Elastic クラスターを選択できるようにするために必要です。
+ `tag` – プリンシパルに、アカウント内のタグ付けされた全リソースの取得を許可します。
+ `serverlessrepo` – プリンシパルが CloudFormation 変更セットを作成できるようにします。これは、コンソールを使用するプリンシパルが Lambda ローテーション関数を作成できるようにするために必要です。詳細については、「[Secrets Manager が を使用する方法 AWS CloudFormation](cloudformation.md#how-asm-uses-cfn)」を参照してください。
+ `s3` – プリンシパルが管理対象の Amazon S3 バケットからオブジェクトを取得できるようにします AWS。このバケットには Lambda [ローテーション関数のテンプレート](reference_available-rotation-templates.md) が含まれます。このアクセス許可は、コンソールを使用するプリンシパルがバケット内のテンプレートに基づいて、Lambda ローテーション関数を作成できるようにするために必要です。詳細については、「[Secrets Manager が を使用する方法 AWS CloudFormation](cloudformation.md#how-asm-uses-cfn)」を参照してください。
ポリシーを表示するには、[SecretsManagerReadWrite の JSON ポリシーのドキュメント](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecretsManagerReadWrite.html#SecretsManagerReadWrite-json)を参照してください。
## AWS マネージドポリシー: AWSSecretsManagerClientReadOnlyAccess
このポリシーは、クライアントアプリケーションの AWS Secrets Manager シークレットへの読み取り専用アクセスを提供します。これにより、プリンシパルはシークレット値を取得してシークレットメタデータを記述し、カスタマーマネージドキーで暗号化されたシークレットを復号するために必要な AWS KMS アクセス許可を付与できます。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `secretsmanager` – プリンシパルがシークレット値を取得し、シークレットメタデータを記述できるようにします。
+ `kms` – プリンシパルが AWS KMS キーを使用してシークレットを復号できるようにします。このアクセス許可は、サービス固有の条件を通じて Secrets Manager が使用するキーに限定されます。
JSON ポリシードキュメントの最新バージョンなど、ポリシーの詳細については、「 *AWS マネージドポリシーリファレンスガイド*」の[AWSSecretsManagerClientReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecretsManagerClientReadOnlyAccess.html)」を参照してください。
## AWS マネージドポリシーに対する Secrets Manager の更新
Secrets Manager の AWS 管理ポリシーの更新に関する詳細を表示します。
| 変更 | 説明 | 日付 | バージョン |
| --- | --- | --- | --- |
| [AWSSecretsManagerClientReadOnlyAccess](#security-iam-awsmanpol-AWSSecretsManagerClientReadOnlyAccess) – 新しい管理ポリシー | Secrets Manager は、クライアントアプリケーションのシークレットへの読み取り専用アクセスを提供する新しい管理ポリシーを作成しました。このポリシーでは、シークレットを復号するために必要な AWS KMS アクセス許可を使用して、シークレット値を取得してシークレットメタデータを記述できます。 | 2025 年 11 月 5 日 | v1 |
| [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite) – 既存のポリシーへの更新 | このポリシーは、 Amazon Redshift Serverless への記述アクセスを許可するように更新されました。これにより、コンソールユーザーは Amazon Redshift シークレットを作成するときに Amazon Redshift Serverless 名前空間を選択できるようになります。 | 2024 年 3 月 12 日 | v5 |
| [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite) – 既存のポリシーへの更新 | このポリシーは、Amazon DocumentDB の Elastic クラスターへの記述アクセスを許可するように更新されました。これにより、コンソールユーザーは Amazon DocumentDB シークレットを作成するときに Elastic クラスターを選択できます。 | 2023 年 9 月 12 日 | v4 |
| [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite) – 既存のポリシーへの更新 | このポリシーは、Amazon Redshift への記述アクセスを許可するように更新されました。これにより、コンソールユーザーは Amazon Redshift シークレットを作成するときに Amazon Redshift クラスターを選択できます。この更新では、Lambda ローテーション関数テンプレートを保存する によって管理 AWS される Amazon S3 バケットへの読み取りアクセスを許可する新しいアクセス許可も追加されました。 | 2020 年 6 月 24 日 | v3 |
| [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite) – 既存のポリシーへの更新 | このポリシーは、Amazon RDS クラスターへの記述アクセスを許可するように更新されました。これにより、コンソールユーザーは Amazon RDS シークレットを作成するときにクラスターを選択できます。 | 2018 年 5 月 3 日 | v2 |
| [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite) – 新しいポリシー | Secrets Manager は、Secrets Manager へのすべての読み取り/書き込みアクセスで、コンソールを使用するために必要なアクセス許可を付与するポリシーを作成しました。 | 2018 年 04 月 4 日 | v1 |