本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用屬性型存取控制控制對秘密的存取 (ABAC)
屬性型存取控制 (ABAC) 是一種授權策略,可根據使用者、資料或環境的屬性或特性定義許可,例如部門、業務單位或可能影響授權結果的其他因素。在 中 AWS,這些屬性稱為標籤 。
使用標籤控制許可,在成長快速的環境中相當有幫助,也能在政策管理變得繁瑣時提供協助。ABAC 規則會在執行期動態評估,這表示使用者對應用程式和資料的存取,以及允許操作的類型會根據政策中的內容因素自動變更。例如,如果使用者變更部門,則會自動調整存取權,而無需更新許可或請求新角色。如需詳細資訊,請參閱:什麼ABAC是 AWS?、根據標籤定義存取秘密的許可。 以及ABAC使用 IAM Identity Center 擴展 Secrets Manager 的授權需求
範例:允許身分存取具有特定標籤的秘密
下列政策允許存取具有 金鑰之標籤的DescribeSecret秘密 ServerName 和 值 ServerABC。 如果您將此政策附加到身分,則該身分就具有 帳戶中具有該標籤的任何秘密的許可。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "secretsmanager:DescribeSecret", "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/ServerName": "ServerABC" } } } }
範例:僅允許存取具有符合秘密標籤之標籤的身分
下列政策允許帳戶中的任何身分GetSecretValue存取身分所在帳戶中的任何秘密 AccessProjectAccessProject
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "AWS": "123456789012" }, "Condition": { "StringEquals": { "aws:ResourceTag/AccessProject": "${ aws:PrincipalTag/AccessProject}" } }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } }
