本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
判斷誰有存取 AWS Secrets Manager 秘密的許可
依預設,IAM 身分沒有存取秘密的許可。在授予秘密的存取權時,Secrets Manager 會評估與秘密相連的資源型政策,以及與 IAM 使用者或傳送請求的角色相連的所有身分型政策。為了這麼做,Secrets Manager 使用類似於 IAM 使用者指南中的判斷是否允許或拒絕請求中所述的程序。
多個政策套用到請求時,Secrets Manager 會使用階層來控制許可:
-
如果任何政策中具有明確
deny的陳述式與請求動作和資源相符:明確
deny會覆寫其他所有內容並阻止該動作。 -
如果沒有明確
deny,而是具有明確allow的陳述式與請求動作和資源相符:明確
allow會授予請求中的動作對陳述式中資源的存取權。如果身分和秘密位於兩個不同的帳戶中,則在秘密的資源政策中和連接到身分的政策中都必須有
allow,否則 AWS 會拒絕該請求。如需更多詳細資訊,請參閱 跨帳戶存取權。 -
如果沒有具有明確
allow的陳述式與請求動作和資源相符:AWS 預設會拒絕請求,這被稱為隱含拒絕。
若要檢視秘密的資源型政策
-
執行下列任意一項:
-
前往以下位置開啟 Secrets Manager 主控台:https://console.aws.amazon.com/secretsmanager/
。進入秘密的秘密詳細資訊頁面,在 Resource permissions (資源使用權限) 區段選擇 Edit permissions (編輯許可)。 -
使用 AWS CLI 呼叫
get-resource-policy,或使用 AWS SDK 呼叫GetResourcePolicy。
-
透過身分型政策判斷誰擁有存取權
-
使用 IAM 政策模擬器。請參閱使用 IAM 政策模擬器測試 IAM 政策
