本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 的身分驗證和存取控制 AWS Secrets Manager
<a name="auth-and-access"></a>

Secrets Manager 會使用 [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 來保護秘密的存取權。IAM 提供身分驗證與存取控制。*身分驗證*會驗證個人請求的身分。Secrets Manager 會使用登入程序、密碼、存取金鑰和多重要素驗證 (MFA) 字符來驗證使用者的身分。請參閱[登入 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html)。*存取控制*可確保只有經核准的個人可對 AWS 資源 (例如秘密) 執行操作。Secrets Manager 使用政策來定義誰可以存取哪些資源，以及相應身分可以對那些資源採取哪些動作。請參閱 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。

**Topics**
+ [的許可參考 AWS Secrets Manager](#reference_iam-permissions)
+ [Secrets Manager 管理員許可](#auth-and-access_admin)
+ [存取秘密的許可](#auth-and-access_secrets)
+ [Lambda 輪換函數的許可](#auth-and-access_rotate)
+ [用於加密金鑰的許可](#auth-and-access_encrypt)
+ [複寫的許可](#auth-and-access_replication)
+ [身分型政策](auth-and-access_iam-policies.md)
+ [資源型政策](auth-and-access_resource-policies.md)
+ [使用屬性型存取控制 (ABAC) 控制對秘密的存取](auth-and-access-abac.md)
+ [AWS 的 受管政策 AWS Secrets Manager](reference_available-policies.md)
+ [判斷誰有權存取您的 AWS Secrets Manager 秘密](determine-acccess_examine-iam-policies.md)
+ [從不同帳戶存取 AWS Secrets Manager 秘密](auth-and-access_examples_cross.md)
+ [從內部部署環境存取秘密](auth-and-access-on-prem.md)

## 的許可參考 AWS Secrets Manager
<a name="reference_iam-permissions"></a>

Secrets Manager 的許可參考可在*服務授權參考*中的 [的動作、資源和條件索引鍵 AWS Secrets Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecretsmanager.html)中找到。

## Secrets Manager 管理員許可
<a name="auth-and-access_admin"></a>

若要授予 Secrets Manager 管理員許可，請遵循[新增與移除 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)中的說明，並連接下列政策：
+ [SecretsManagerReadWrite](reference_available-policies.md#security-iam-awsmanpol-SecretsManagerReadWrite)
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)

建議您不要將管理員許可授予最終使用者。雖然這樣做可讓使用者建立及管理其秘密，但啟用輪換所需的許可 (IAMFullAccess) 會授予最終使用者不適用的重要許可。

## 存取秘密的許可
<a name="auth-and-access_secrets"></a>

您可以利用 IAM 許可政策，藉此控制可以存取秘密的使用者或服務。*許可政策*描述哪些人可在哪些資源上執行哪些動作。您可以：
+ [身分型政策](auth-and-access_iam-policies.md)
+ [資源型政策](auth-and-access_resource-policies.md)

## Lambda 輪換函數的許可
<a name="auth-and-access_rotate"></a>

Secrets Manager 使用 AWS Lambda 函數來[輪換秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)。Lambda 函數必須能夠存取秘密，以及該秘密包含其憑證的資料庫或服務。請參閱 [輪換的許可](rotating-secrets-required-permissions-function.md)。

## 用於加密金鑰的許可
<a name="auth-and-access_encrypt"></a>

Secrets Manager 使用 AWS Key Management Service (AWS KMS) 金鑰來[加密秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)。 AWS 受管金鑰 `aws/secretsmanager` 會自動擁有正確的許可。如果使用不同的 KMS 金鑰，Secrets Manager 需要該金鑰的許可。請參閱 [KMS 金鑰的許可](security-encryption.md#security-encryption-authz)。

## 複寫的許可
<a name="auth-and-access_replication"></a>

透過使用 IAM 許可政策，您可以控制哪些使用者或服務可以將秘密複寫到其他區域。請參閱 [防止 AWS Secrets Manager 複寫](replicate-secrets-permissions.md)。