Impedir a replicação do AWS Secrets Manager - AWS Secrets Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Impedir a replicação do AWS Secrets Manager

Como os segredos podem ser replicados usando ReplicateSecretToRegions ou quando são criados usando CreateSecret, se você quiser impedir que os usuários repliquem segredos, recomendamos que você evite ações que contenham o parâmetro AddReplicaRegions. É possível usar uma instrução Condition em suas políticas de permissão para permitir somente ações que não adicionem regiões de réplica. Veja os exemplos de políticas a seguir para ver as instruções de condição que podem ser usadas.

exemplo Impedir a permissão de replicação

O exemplo de política a seguir mostra como permitir todas as ações que não adicionem regiões de réplica. Isso impede que os usuários repliquem segredos por meio de ReplicateSecretToRegions e CreateSecret.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:*",
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:AddReplicaRegions": "true"
        }
      }
    }
  ]
}
exemplo Permitir permissão de replicação somente para regiões específicas

A política a seguir mostra como permitir tudo o que segue:

  • Criar segredos sem replicação

  • Criar segredos com replicação para regiões somente nos Estados Unidos e no Canadá

  • Replicar segredos para regiões somente nos Estados Unidos e no Canadá 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:ReplicateSecretToRegions"
      ],
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringLike": {
          "secretsmanager:AddReplicaRegions": [
            "us-*",
            "ca-*"
          ]
        }
      }
    }
  ]
}