As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Anexo de uma política de permissões a um segredo do AWS Secrets Manager
Em uma política baseada em recursos, especifique quem pode acessar o segredo e as ações que essa pessoa pode executar no segredo. Você pode usar políticas baseadas em recursos para:
-
Conceder acesso a vários usuários e funções a um único segredo.
-
Conceda acesso a usuários ou funções em outras AWS contas.
Consulte Exemplos de políticas de permissões para AWS Secrets Manager.
Quando você anexa uma política baseada em recursos a um segredo no console, o Secrets Manager usa o mecanismo de raciocínio automatizado ZelkovaValidateResourcePolicy para impedir que você conceda acesso a seus segredos a uma ampla gama de entidades principais do IAM. Você também pode chamar a API PutResourcePolicy com o parâmetro BlockPublicPolicy da CLI ou do SDK.
Importante
A validação da política de recursos e o BlockPublicPolicy parâmetro ajudam a proteger seus recursos, impedindo que o acesso público seja concedido por meio das políticas de recursos diretamente associadas aos seus segredos. Além de usar esses recursos, inspecione cuidadosamente as políticas a seguir para confirmar se elas não concedem acesso público:
Políticas baseadas em identidade vinculadas aos AWS diretores associados (por exemplo, funções do IAM)
Políticas baseadas em recursos anexadas aos AWS recursos associados (por exemplo, chaves AWS Key Management Service (AWS KMS))
Para revisar as permissões de seus segredos, consulteDeterminação de quem tem permissões para seus segredos do .
Para visualizar, alterar ou excluir a política de recursos de um segredo (console)
Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/
. Na lista de segredos, escolha o segredo.
-
Na página de detalhes do segredo, na guia de Visão geral da seção Permissões de recursos, escolha Editar permissões.
-
No campo do código, siga um dos procedimentos a seguir e escolha Save (Salvar):
-
Para anexar ou modificar uma política de recursos, insira a política.
-
Para excluir a política, limpe o campo do código.
-
AWS CLI
exemplo Recuperar uma política de recursos
O exemplo de get-resource-policy a seguir recupera a política baseada em recurso anexada a um segredo.
aws secretsmanager get-resource-policy \ --secret-id MyTestSecret
exemplo Excluir uma política de recurso
O exemplo de delete-resource-policy a seguir exclui a política baseada em recurso anexada a um segredo.
aws secretsmanager delete-resource-policy \ --secret-id MyTestSecret
exemplo Adicionar uma política de recurso
O exemplo de put-resource-policy a seguir adiciona uma política de permissões a um segredo, verificando primeiro se a política não fornece acesso amplo ao segredo. A política é lida de um arquivo. Para obter mais informações, consulte Carregando AWS CLI parâmetros de um arquivo no Guia AWS CLI do usuário.
aws secretsmanager put-resource-policy \ --secret-id MyTestSecret \ --resource-policy file://mypolicy.json \ --block-public-policy
Conteúdo de mypolicy.json:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/MyRole" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] }
AWS SDK
Para recuperar a política anexada a um segredo, use GetResourcePolicy.
Para excluir a política anexada a um segredo, use DeleteResourcePolicy.
Para anexar uma política a um segredo, use PutResourcePolicy. Se já houver uma política anexada, o comando a substituirá pela nova política. O documento da política deve estar formatado como texto JSON estruturado. Consulte Estrutura de documento de política JSON. Use os Exemplos de políticas de permissões para AWS Secrets Manager para começar a criar sua política.
Para ter mais informações, consulte AWS SDKs.
