本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 受管理的政策 AWS Secrets Manager
受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。
請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新API作業可供現有服務使 AWS 服務 用時,最有可能更新 AWS 受管理的策略。
如需詳細資訊,請參閱IAM使用指南中的AWS 受管理策略。
AWS 受管理的策略: SecretsManagerReadWrite
此政策提供讀取/寫入存取權 AWS Secrets Manager,包括描述亞馬遜RDS、Amazon Redshift 和 Amazon DocumentDB 資源的權限,以及用於加密和解密密碼 AWS KMS 的權限。此政策還提供建立 AWS CloudFormation 變更集、從受管理的 Amazon S3 儲存貯體取得輪替範本 AWS、列出 AWS Lambda 功能和描述 Amazon 的權限EC2VPCs。控制台需要這些許可,才能使用現有的輪換函數來設定輪換。
若要建立新的循環函數,您還必須擁有建立 AWS CloudFormation 堆疊和 AWS Lambda 執行角色的權限。您可以指派受IAMFullAccess管理的策略。請參閱 輪換的許可。
許可詳細資訊
此政策包含以下許可。
-
secretsmanager– 允許主體執行所有 Secrets Manager 動作。 -
cloudformation— 允許主參與者建立 AWS CloudFormation 堆疊。這是必要的,以便使用控制台打開旋轉的主體可以通過 AWS CloudFormation 堆棧創建 Lambda 旋轉函數。如需詳細資訊,請參閱Secrets Manager 使用 AWS CloudFormation 的方式。 -
ec2— 允許校長描述 Amazon EC2 VPCs。這是必要的,以便使用控制台的主體可以在與存儲在密鑰中的認證的數據庫相同VPC的情況下創建循環函數。 -
kms— 允許主參與者使用 AWS KMS 金鑰進行密碼編譯作業。此為必要項目,如此 Secrets Manager 才可以加密和解密秘密。如需詳細資訊,請參閱秘密加密和解密 AWS Secrets Manager。 -
lambda– 允許主體列出 Lambda 輪換函數。此為必要項目,如此使用主控台的主體才可以選擇現有的輪換函數。 -
rds— 允許主體描述 Amazon RDS 中的叢集和執行個體。這是必要的,以便使用主控台的主體可以選擇 Amazon RDS 叢集或執行個體。 -
redshift– 允許主體描述 Amazon Redshift 中的叢集。此為必要項目,如此使用主控台的主體才可以選擇 Amazon Redshift 叢集。 -
redshift-serverless— 允許主體描述 Amazon Redshift 無伺服器中的命名空間。這是必要的,以便使用主控台的主體可以選擇 Amazon Redshift 無伺服器命名空間。 -
docdb-elastic– 允許主體描述 Amazon DocumentDB 中的彈性叢集。此為必要項目,如此使用主控台的主體才可以選擇 Amazon DocumentDB 彈性叢集。 -
tag– 允許主體取得帳戶中已標記的所有資源。 -
serverlessrepo— 允許主參與者建立 AWS CloudFormation 變更集。此為必要項目,如此使用主控台的主體才可以建立 Lambda 輪換函數。如需詳細資訊,請參閱Secrets Manager 使用 AWS CloudFormation 的方式。 -
s3— 允許主體從受管理的 Amazon S3 儲存貯體取得物件 AWS。此儲存貯體包含 Lambda 輪換函數範本。此為必要許可,如此使用主控台的主體才可以根據儲存貯體中的範本建立 Lambda 輪換函數。如需詳細資訊,請參閱Secrets Manager 使用 AWS CloudFormation 的方式。
若要檢視原則,請參閱SecretsManagerReadWrite JSON政策文件。
Secrets Manager 更新 AWS 受管理的策略
檢視有關 Secret 管理員受 AWS 管理策略的更新詳細資料。
| 變更 | 描述 | 日期 | 版本 |
|---|---|---|---|
|
SecretsManagerReadWrite – 更新現有政策 |
此政策已更新,允許描述存取 Amazon Redshift 無伺服器,以便主控台使用者在建立 Amazon Redshift 密碼時可以選擇 Amazon Redshift 無伺服器命名空間。 |
2024年3月12日 | V5 |
|
SecretsManagerReadWrite – 更新現有政策 |
此政策已更新,允許描述 Amazon DocumentDB 彈性叢集的存取權,如此主控台使用者才可以在建立 Amazon DocumentDB 秘密時選擇彈性叢集。 |
2023 年 9 月 12 日 | 第 4 版 |
|
SecretsManagerReadWrite – 更新現有政策 |
此政策已更新,允許描述 Amazon Redshift 的存取權,如此主控台使用者才可以在建立 Amazon Redshift 秘密時選擇 Amazon Redshift 叢集。此更新還新增了新的許可,允許讀取存取由存放 Lambda 輪替函數範本 AWS 所管理的 Amazon S3 儲存貯體。 |
2020 年 6 月 24 日 | v3 |
|
SecretsManagerReadWrite – 更新現有政策 |
此政策已更新,允許描述對 Amazon RDS 叢集的存取,以便主控台使用者可以在建立 Amazon RDS 密碼時選擇叢集。 |
2018 年 5 月 3 日 | v2 |
|
SecretsManagerReadWrite – 新政策 |
Secrets Manager 建立了一個政策來授予使用控制台所需的許可,這些許可具有 Secrets Manager 的所有讀取/寫入存取權。 |
2018 年 4 月 04 日 | v1 |
