确定谁有权访问你的 AWS Secrets Manager 秘密 - AWS Secrets Manager

确定谁有权访问你的 AWS Secrets Manager 秘密

预设情况下，IAM 身份无权限访问密钥。授权访问密钥时，Secrets Manager 会评估密钥基于资源的策略以及发送请求的 IAM 用户或角色的所有身份策略。为此，Secrets Manager 使用与 IAM 用户指南中确定请求是允许还是拒绝中描述过程类似的过程。

多个策略应用于请求时，Secrets Manager 会使用层次结构控制权限：

如果任何策略中具有显式表达式的语句与请求操作和资源 deny 匹配：

显式表达式 deny 覆盖其他所有内容并阻止操作。
如果没有显式表达式 deny，但带有显式表达式 allow 与请求操作和资源匹配：

显式表达式 allow 授予请求中的操作访问语句中资源的权限。

如果身份和密钥位于两个不同的账户中，则该密钥的资源策略和附加到身份的策略allow中都必须有，否则会 AWS 拒绝请求。有关更多信息，请参阅跨账户访问。
如果没有带显式表达式 allow 与请求操作和资源相匹配：

AWS 默认情况下拒绝请求，这称为隐式拒绝。

查看密钥基于资源的策略

请执行以下操作之一：
- 打开 Secrets Manager 控制台，网址为https://console.aws.amazon.com/secretsmanager/。在您的密钥详细信息页面中，在资源权限部分，选择编辑权限。
- 使用 to AWS CLI call get-resource-policy或 AWS SDK 进行通话GetResourcePolicy。

确定哪些人可以通过基于身份的策略进行访问

使用 IAM policy simulator。参见用 IAM policy simulator 测试 IAM 策略

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

AWS 托管策略

跨账户访问