As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Determinação de quem tem permissões para seus segredos do AWS Secrets Manager
Por padrão, as identidades do IAM não têm permissão para acessar segredos. Ao autorizar o acesso a um segredo, o Secrets Manager avalia a política baseada em recursos anexada ao segredo e todas as políticas baseadas em identidades anexadas ao usuário ou à função do IAM que está enviando a solicitação. Para fazer isso, o Secrets Manager usa um processo semelhante ao descrito em Determinar se uma solicitação é permitida ou negada no Manual do usuário do IAM.
Quando várias políticas se aplicarem a uma solicitação, o Secrets Manager usará uma hierarquia para controlar as permissões:
-
Se uma declaração em qualquer política com uma
deny
explícita corresponder à ação de solicitação e ao recurso:A
deny
explícita substituirá todo o resto e bloqueará a ação. -
Se não houver qualquer
deny
explícita, mas uma declaração com umaallow
explícita corresponder à ação de solicitação e ao recurso:A
allow
explícita concederá à ação de solicitação acesso aos recursos da declaração.Se a identidade e o segredo estiverem em duas contas diferentes, deverá haver uma
allow
na política de recursos para o segredo e na política anexada à identidade, caso contrário, a AWS negará a solicitação. Para obter mais informações, consulte Acesso entre contas. -
Se não houver qualquer declaração com uma
allow
explícita que corresponda à ação de solicitação e ao recurso:A AWS negará a solicitação por padrão, o que é denominado negação implícita.
Para visualizar a política baseada em recursos de um segredo
-
Faça um dos seguintes procedimentos:
-
Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/
. Na página de detalhes do segredo, na seção Resource permissions (Permissões de recursos), escolha Edit permissions (Editar permissões). -
Use a AWS CLI para chamar
get-resource-policy
ou o AWS SDK para chamarGetResourcePolicy
.
-
Para determinar quem tem acesso por meio de políticas baseadas em identidades
-
Use o simulador de políticas do IAM. Consulte Testar políticas do IAM com o simulador de políticas do IAM