Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Authentifizierung und Zugriffskontrolle für AWS Secrets Manager
Secrets Manager verwendet [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html), um den Zugriff auf Secrets zu sichern. IAM bietet Authentifizierung und Zugriffskontrolle. Die *Authentifizierung* verifiziert die Identität der Personen, die Anforderungen senden. Secrets Manager verwendet einen Anmeldeprozess mit Passwörtern, Zugriffsschlüsseln und Multi-Faktor-Authentifizierung (MFA)-Tokens, um die Identität der Benutzer zu überprüfen. Siehe [Anmelden bei AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html). Die *Zugriffskontrolle* stellt sicher, dass nur zugelassene Personen Operationen an AWS -Ressourcen wie z. B. Secrets durchführen können. Der Secrets Manager verwendet Richtlinien, um zu definieren, wer Zugriff auf welche Ressourcen hat und welche Aktionen die Identität für diese Ressourcen ausführen kann. Siehe [Policies and permissions in IAM (Berechtigungen und Richtlinien in IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).
**Topics**
+ [Referenz zu Berechtigungen für AWS Secrets Manager](#reference_iam-permissions)
+ [Administratorberechtigungen für den Secrets Manager](#auth-and-access_admin)
+ [Berechtigungen für den Zugriff auf Secrets](#auth-and-access_secrets)
+ [Berechtigungen für Lambda Rotationsfunktionen](#auth-and-access_rotate)
+ [Berechtigungen für die Verschlüsselung](#auth-and-access_encrypt)
+ [Berechtigungen für die Replikation](#auth-and-access_replication)
+ [Identitätsbasierte Richtlinien](auth-and-access_iam-policies.md)
+ [Ressourcenbasierte Richtlinien](auth-and-access_resource-policies.md)
+ [Steuern Sie den Zugriff auf geheime Daten mithilfe der attributebasierten Zugriffskontrolle (ABAC)](auth-and-access-abac.md)
+ [AWS verwaltete Richtlinie für AWS Secrets Manager](reference_available-policies.md)
+ [Ermitteln Sie, wer Zugriff auf Ihre AWS Secrets Manager Geheimnisse hat](determine-acccess_examine-iam-policies.md)
+ [Greifen Sie von einem AWS Secrets Manager anderen Konto aus auf Geheimnisse zu](auth-and-access_examples_cross.md)
+ [Greifen Sie von einer lokalen Umgebung aus auf Geheimnisse zu](auth-and-access-on-prem.md)
## Referenz zu Berechtigungen für AWS Secrets Manager
Die Berechtigungsreferenz für Secrets Manager ist unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Secrets Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecretsmanager.html) in der *Service Authorization Reference* verfügbar.
## Administratorberechtigungen für den Secrets Manager
Folgen Sie den Anweisungen unter [Adding and removing IAM identity permissions (Hinzufügen und Entfernen von IAM-Identitätsberechtigungen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html), um Secrets Manager Administratorberechtigungen zu gewähren und die folgenden Richtlinien hinzuzufügen:
+ [SecretsManagerReadWrite](reference_available-policies.md#security-iam-awsmanpol-SecretsManagerReadWrite)
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
Es wird empfohlen, Endbenutzern keine Administratorberechtigungen zu erteilen. Während dies Ihren Benutzern die Möglichkeit gibt, ihre Secrets zu erstellen und zu verwalten, gewährt die zum Aktivieren der Rotation erforderliche Berechtigung (IAMFullAccess) erhebliche Berechtigungen, die für Endbenutzer nicht geeignet sind.
## Berechtigungen für den Zugriff auf Secrets
Durch die Verwendung der IAM-Berechtigungsrichtlinien können Sie steuern, welche Benutzer oder Services Zugriff auf Ihre Secrets haben. Eine *Berechtigungsrichtlinie* beschreibt, wer welche Aktionen für welche Ressourcen ausführen darf. Sie können:
+ [Identitätsbasierte Richtlinien](auth-and-access_iam-policies.md)
+ [Ressourcenbasierte Richtlinien](auth-and-access_resource-policies.md)
## Berechtigungen für Lambda Rotationsfunktionen
Secrets Manager verwendet AWS Lambda Funktionen, um [Geheimnisse zu rotieren](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html). Die Lambda-Funktion muss Zugriff auf das Secret sowie auf die Datenbank oder den Dienst haben, für den das Secret Anmeldeinformationen enthält. Siehe [Berechtigungen für Rotation](rotating-secrets-required-permissions-function.md).
## Berechtigungen für die Verschlüsselung
Secrets Manager verwendet AWS Key Management Service (AWS KMS) -Schlüssel, um [Geheimnisse zu verschlüsseln](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html). Der hat Von AWS verwalteter Schlüssel `aws/secretsmanager` automatisch die richtigen Berechtigungen. Wenn Sie einen anderen KMS-Schlüssel verwenden, benötigt der Secrets Manager Berechtigungen für diesen Schlüssel. Siehe [Berechtigungen für den KMS-Schlüssel](security-encryption.md#security-encryption-authz).
## Berechtigungen für die Replikation
Mithilfe von IAM-Berechtigungsrichtlinien steuern Sie, welche Benutzer oder Dienste Ihre Geheimnisse in andere Regionen replizieren können. Siehe [AWS Secrets Manager Replikation verhindern](replicate-secrets-permissions.md).
# Identitätsbasierte Richtlinien
Fügen Sie Berechtigungsrichtlinien an [IAM-Identitäten, Benutzer, Benutzergruppen und Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) an. Bei einer identitätsbasierten Richtlinie geben Sie an, auf welche Secrets die Identität zugreifen darf und welche Aktionen die Identität für die Secrets ausführen darf. Weitere Informationen finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
Sie können Berechtigungen für eine Rolle erteilen, die eine Anwendung oder einen Benutzer in einem anderen Service darstellt. Beispielsweise benötigt eine Anwendung auf einer Amazon-EC2-Instance Zugriff auf eine Datenbank. Sie können eine IAM-Rolle erstellen, die dem EC2-Instance-Profil zugeordnet ist, und dann eine Berechtigungsrichtlinie verwenden, um der Rolle Zugriff auf das Secret zu gewähren, das die Anmeldeinformationen für die Datenbank enthält. Weitere Informationen finden Sie unter [Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon-EC2-Instances ausgeführt werden](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Andere Services, denen Sie Rollen anhängen können, sind unter anderem [Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/dg/c-getting-started-using-spectrum.html), [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-permissions.html) und [Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_execution_IAM_role.html).
Sie können Benutzern, die von einem anderen Identitätssystem als IAM authentifiziert wurden, Berechtigungen erteilen. Sie können z. B. IAM-Rollen Benutzern mobiler Apps zuordnen, die sich mit Amazon Cognito anmelden. Die Rolle gewährt der App temporäre Anmeldeinformationen mit den Berechtigungen in der Berechtigungsrichtlinie der Rolle. Anschließend können Sie eine Berechtigungsrichtlinie verwenden, um der Rolle Zugriff auf das Secret zu gewähren. Weitere Informationen finden Sie unter [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html).
Sie können identitätsbasierte Richtlinien für Folgendes verwenden:
+ Gewähren Sie einer Identität Zugriff auf mehrere Secrets.
+ Steuern Sie, wer neue Secrets erstellen und auf Secrets zugreifen kann, die noch nicht erstellt wurden.
+ Gewähren Sie einer IAM-Gruppe Zugriff auf Secrets.
**Topics**
+ [Beispiel: Berechtigung zum Abrufen von einzelnen Secret-Werten](#auth-and-access_examples_identity_read)
+ [Beispiel: Erlaubnis, einzelne Geheimnisse zu lesen und zu beschreiben](#auth-and-access_examples-read-and-describe)
+ [Beispiel: Berechtigung zum Abrufen einer Gruppe geheimer Werte in einem Batch](#auth-and-access_examples_batch)
+ [Beispiel: Platzhalter](#auth-and-access_examples_wildcard)
+ [Beispiel: Berechtigung zum Erstellen von Secrets](#auth-and-access_examples_create)
+ [Beispiel: Verweigern Sie einen bestimmten AWS KMS Schlüssel zur Verschlüsselung von Geheimnissen](#auth-and-access_examples_kmskey)
## Beispiel: Berechtigung zum Abrufen von einzelnen Secret-Werten
Um die Berechtigung zum Abrufen von Secret-Werten zu erteilen, können Sie Secrets oder Identitäten Richtlinien zuordnen. Hilfe zum Festlegen des zu verwendenden Richtlinientyps finden Sie unter [Identity-based policies and resource-based policies (Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html). Informationen zum Erstellen von Richtlinien finden Sie unter [Ressourcenbasierte Richtlinien](auth-and-access_resource-policies.md) und [Identitätsbasierte Richtlinien](#auth-and-access_iam-policies).
Dieses Beispiel ist nützlich, wenn Sie Zugriff auf eine IAM-Gruppe gewähren möchten. Informationen zum Gewähren der Berechtigung zum Abrufen einer Gruppe von Secrets in einem Batch-API-Aufruf finden Sie unter [Beispiel: Berechtigung zum Abrufen einer Gruppe geheimer Werte in einem Batch](#auth-and-access_examples_batch).
**Example Lesen Sie ein Geheimnis, das mit einem vom Kunden verwalteten Schlüssel verschlüsselt wurde**
Wenn ein Geheimnis mit einem vom Kunden verwalteten Schlüssel verschlüsselt wird, können Sie Zugriff auf das Geheimnis gewähren, indem Sie die folgende Richtlinie an eine Identität anhängen. \$1
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-1:123456789012:secret:secretName-AbCdEf"
},
{
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
## Beispiel: Erlaubnis, einzelne Geheimnisse zu lesen und zu beschreiben
**Example Lies und beschreibe ein Geheimnis**
Sie können Zugriff auf ein Secret gewähren, indem Sie die folgende Richtlinie an eine Identität anfügen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": "arn:aws:secretsmanager:us-east-1:123456789012:secret:secretName-AbCdEf"
}
]
}
```
## Beispiel: Berechtigung zum Abrufen einer Gruppe geheimer Werte in einem Batch
**Example Lesen Sie eine Gruppe von Geheimnissen in einem Stapel**
Sie können den Zugriff auf den Abruf einer Gruppe von Secrets in einem Batch-API-Aufruf gewähren, indem Sie die folgende Richtlinie an eine Identität anhängen. Die Richtlinie schränkt den Aufrufer so ein, dass er nur die mit, und angegebenen Geheimnisse abrufen kann *SecretARN1* *SecretARN2**SecretARN3*, auch wenn der Batch-Aufruf andere Geheimnisse enthält. Wenn der Aufrufer im Batch-API-Aufruf auch andere Secrets anfordert, gibt Secrets Manager diese nicht zurück. [Weitere Informationen finden Sie unter. `BatchGetSecretValue`](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html) .
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:BatchGetSecretValue",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secretName1-AbCdEf",
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secretName2-AbCdEf",
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secretName3-AbCdEf"
]
}
]
}
```
## Beispiel: Platzhalter
Sie können Platzhalter verwenden, um einen Satz von Werten in ein Richtlinienelement aufzunehmen.
**Example Greife auf alle Geheimnisse in einem Pfad zu**
Die folgende Richtlinie gewährt Zugriff auf das Abrufen aller Geheimnisse, deren Name mit "*TestEnv/*" beginnt.
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-1:123456789012:secret:TestEnv/*"
}
}
```
**Example Greifen Sie auf Metadaten aller Geheimnisse zu**
Die folgenden Richtlinien gewährt `DescribeSecret` und Berechtigungen beginnend mit`List`: `ListSecrets` und `ListSecretVersionIds`.
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:List*"
],
"Resource": "*"
}
}
```
**Example Ordnen Sie den geheimen Namen zu**
Die folgende Richtlinie gewährt allen Secrets-Manager-Berechtigungen für ein Secret nach Namen. Informationen zur Verwendung dieser Richtlinie finden Sie unter [Identitätsbasierte Richtlinien](#auth-and-access_iam-policies).
Um einen Secret-Namen zuzuordnen, erstellen Sie den ARN für das Secret, indem Sie Region, Konto-ID, Secret-Namen und Platzhalter (`?`) zusammenstellen, um einzelne zufällige Zeichen zuzuordnen. Secrets Manager fügt sechs zufällige Zeichen zu geheimen Namen als Teil ihres ARN an, sodass Sie diesen Platzhalter verwenden können, um diese Zeichen zu vergleichen. Bei Verwendung der Syntax `"another_secret_name-*"` gleicht Secrets Manager nicht nur das vorgesehene Secret mit den 6 zufälligen Zeichen, sondern auch "`"another_secret_name-a1b2c3"`" ab.
Da Sie alle Teile des ARN eines Secret mit Ausnahme der 6 zufälligen Zeichen vorhersagen können, ermöglicht Ihnen das Platzhalterzeichen `'??????'` das sichere Erteilen von Berechtigungen für ein noch nicht bestehendes Secret. Beachten Sie jedoch Folgendes: Wenn Sie das Secret löschen und mit demselben Namen neu erstellen, erhält der Benutzer automatisch die Berechtigung für das neue Secret, auch wenn die 6 Zeichen geändert wurden.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:a_specific_secret_name-a1b2c3",
"arn:aws:secretsmanager:us-east-1:123456789012:secret:another_secret_name-??????"
]
}
]
}
```
## Beispiel: Berechtigung zum Erstellen von Secrets
Um einem Benutzer Berechtigungen für die Erstellung eines Secrets zu gewähren, empfehlen wir Ihnen, eine Berechtigungsrichtlinie an eine IAM-Gruppe anzufügen, der der Benutzer angehört. Weitere Informationen zu [IAM-Benutzergruppen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html).
**Example Erstelle Geheimnisse**
Die folgende Richtlinie erteilt die Berechtigung zum Erstellen von Secrets und zum Anzeigen einer Liste von Secrets. Informationen zur Verwendung dieser Richtlinie finden Sie unter [Identitätsbasierte Richtlinien](#auth-and-access_iam-policies).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:ListSecrets"
],
"Resource": "*"
}
]
}
```
## Beispiel: Verweigern Sie einen bestimmten AWS KMS Schlüssel zur Verschlüsselung von Geheimnissen
**Wichtig**
Um einem vom Kunden verwalteten Schlüssel zu verweigern, empfehlen wir Ihnen, den Zugriff mithilfe einer Schlüsselrichtlinie oder einer Schlüsselgewährung einzuschränken. Weitere Informationen finden Sie unter [Authentifizierung und Zugriffskontrolle für AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) im *Entwicklerhandbuch zu AWS Key Management Service *.
**Example Den AWS verwalteten Schlüssel verweigern `aws/secretsmanager`**
Die folgende Richtlinie verweigert die Verwendung von Von AWS verwalteter Schlüssel `aws/secretsmanager` zum Erstellen oder Aktualisieren von Geheimnissen. Gemäß dieser Richtlinie müssen Geheimnisse mit einem vom Kunden verwalteten Schlüssel verschlüsselt werden. Die Richtlinie enthält zwei Anweisungen:
1. Die erste Aussage,`Sid: "RequireCustomerManagedKeysOnSecrets"`, lehnt Anfragen zur Erstellung oder Aktualisierung von Geheimnissen unter Verwendung von ab. Von AWS verwalteter Schlüssel `aws/secretsmanager`
1. Die zweite Anweisung,`Sid: "RequireKmsKeyIdParameterOnCreate"`, lehnt Anfragen zum Erstellen von Geheimnissen ab, die keinen KMS-Schlüssel enthalten, da Secrets Manager standardmäßig den Von AWS verwalteter Schlüssel `aws/secretsmanager` verwenden würde.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RequireCustomerManagedKeysOnSecrets",
"Effect": "Deny",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:UpdateSecret"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"secretsmanager:KmsKeyArn": ""
}
}
},
{
"Sid": "RequireKmsKeyIdParameterOnCreate",
"Effect": "Deny",
"Action": "secretsmanager:CreateSecret",
"Resource": "*",
"Condition": {
"Null": {
"secretsmanager:KmsKeyArn": "true"
}
}
}
]
}
```
# Ressourcenbasierte Richtlinien
Bei einer ressourcenbasierten Richtlinie geben Sie an, wer auf Secrets zugreifen darf und welche Aktionen die Identität für die Secrets ausführen darf. Sie können ressourcenbasierte Richtlinien für Folgendes verwenden:
+ Gewähren Sie Zugriff auf ein einzelnes Secret für mehrere Benutzer und Rollen.
+ Gewähren Sie Benutzern oder Rollen in anderen AWS Konten Zugriff.
Wenn Sie eine ressourcenbasierte Richtlinie zu einem Secret in der Konsole zuordnen, verwendet Secrets Manager die Automated-Reasoning-Engine [Zelkova](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/) und die API `ValidateResourcePolicy`, um zu verhindern, dass Sie einer breiten Palette von IAM-Prinzipalen Zugriff auf Ihre Secrets gewähren. Alternativ können Sie auch die `PutResourcePolicy`-API mit dem `BlockPublicPolicy`-Parameter von der CLI oder dem SDK aus aufrufen.
**Wichtig**
Die Überprüfung der Ressourcenrichtlinien und der `BlockPublicPolicy` Parameter tragen zum Schutz Ihrer Ressourcen bei, indem verhindert wird, dass der öffentliche Zugriff über die Ressourcenrichtlinien gewährt wird, die direkt mit Ihren Geheimnissen verknüpft sind. Zusätzlich zur Nutzung dieser Funktionen sollten Sie die folgenden Richtlinien sorgfältig prüfen, um sicherzustellen, dass sie keinen öffentlichen Zugriff gewähren:
Identitätsbasierte Richtlinien, die mit zugehörigen AWS Principals verknüpft sind (z. B. IAM-Rollen)
Ressourcenbasierte Richtlinien, die mit zugehörigen AWS Ressourcen verknüpft sind (z. B. () -Schlüssel) AWS Key Management Service AWS KMS
Informationen zu den Zugriffsberechtigungen für Ihre geheimen Daten finden Sie unter. [Bestimmen, wer Berechtigungen für Ihre -Secrets hat](determine-acccess_examine-iam-policies.md)
**Die Ressourcenrichtlinie für ein Secret anzeigen, ändern oder löschen (Konsole)**
1. Öffnen Sie die Secrets Manager Manager-Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Wählen Sie aus der Liste der Secrets Ihr Secret aus.
1. Wählen Sie auf der Seite zu den Secret-Details auf der Registerkarte **Übersicht** im Abschnitt **Ressourcenberechtigungen** die Option **Berechtigungen bearbeiten** aus.
1. Führen Sie einen der folgenden Schritte im Codefeld aus und wählen Sie dann die Option **Save (Speichern)**:
+ Um eine Ressourcenrichtlinie anzuhängen oder zu ändern, geben Sie die Richtlinie ein.
+ Um die Richtlinie zu löschen, löschen Sie den Inhalt des Codefelds.
## AWS CLI
**Example Eine Ressourcenrichtlinie abrufen**
Im folgenden [https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-resource-policy.html](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-resource-policy.html)-Beispiel wird die an ein Secret angefügte ressourcenbasierte Richtlinie abgerufen.
```
aws secretsmanager get-resource-policy \
--secret-id MyTestSecret
```
**Example Eine Ressourcenrichtlinie löschen**
Im folgenden [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/delete-resource-policy.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/delete-resource-policy.html)-Beispiel wird die an ein Secret angefügte ressourcenbasierte Richtlinie gelöscht.
```
aws secretsmanager delete-resource-policy \
--secret-id MyTestSecret
```
**Example Eine Ressourcenrichtlinie hinzufügen**
Im folgenden [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/put-resource-policy.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/put-resource-policy.html)-Beispiel wird einem Secret eine Berechtigungsrichtlinie hinzugefügt, wobei zunächst geprüft wird, ob die Richtlinie keinen umfassenden Zugriff auf das Secret gewährt. Die Richtlinie wird aus einer Datei gelesen. Weitere Informationen finden Sie im AWS CLI Benutzerhandbuch unter [Laden von AWS CLI Parametern aus einer Datei](https://docs.aws.amazon.com//cli/latest/userguide/cli-usage-parameters-file.html).
```
aws secretsmanager put-resource-policy \
--secret-id MyTestSecret \
--resource-policy file://mypolicy.json \
--block-public-policy
```
Inhalt von `mypolicy.json`:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/MyRole"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*"
}
]
}
```
## AWS SDK
Um die Richtlinie abzurufen, die dem Secret zugeordnet ist, verwenden Sie [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html).
Um die Richtlinie zu löschen, die dem Secret zugeordnet ist, verwenden Sie [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteResourcePolicy.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteResourcePolicy.html).
Um eine Richtlinie zu einem Secret hinzuzufügen, verwenden Sie [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html). Wenn bereits eine Richtlinie angefügt ist, ersetzt der Befehl sie durch die neue Richtlinie. Die Richtlinie muss als JSON-strukturierter Text formatiert sein. Weitere Informationen finden Sie unter [JSON policy document structure (JSON-Richtliniendokumentstruktur)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies-introduction).
Weitere Informationen finden Sie unter [AWS SDKs](asm_access.md#asm-sdks).
## Beispiele
**Topics**
+ [Beispiel: Berechtigung zum Abrufen von einzelnen Secret-Werten](#auth-and-access_examples_read)
+ [Beispiel: Berechtigungen und VPCs](#auth-and-access_examples_vpc)
+ [Beispiel: Service-Prinzipal](#auth-and-access_service)
### Beispiel: Berechtigung zum Abrufen von einzelnen Secret-Werten
Um die Berechtigung zum Abrufen von Secret-Werten zu erteilen, können Sie Secrets oder Identitäten Richtlinien zuordnen. Hilfe zum Festlegen des zu verwendenden Richtlinientyps finden Sie unter [Identity-based policies and resource-based policies (Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html). Informationen zum Erstellen von Richtlinien finden Sie unter [Ressourcenbasierte Richtlinien](#auth-and-access_resource-policies) und [Identitätsbasierte Richtlinien](auth-and-access_iam-policies.md).
Dieses Beispiel ist nützlich, wenn Sie mehreren Benutzern oder Rollen Zugriff auf ein einzelnes Secret gewähren möchten. Informationen zum Gewähren der Berechtigung zum Abrufen einer Gruppe von Secrets in einem Batch-API-Aufruf finden Sie unter [Beispiel: Berechtigung zum Abrufen einer Gruppe geheimer Werte in einem Batch](auth-and-access_iam-policies.md#auth-and-access_examples_batch).
**Example Lies ein Geheimnis**
Sie können Zugriff auf ein Secret gewähren, indem Sie die folgende Richtlinie an das Secret anfügen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/EC2RoleToAccessSecrets"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*"
}
]
}
```
### Beispiel: Berechtigungen und VPCs
Wenn Sie innerhalb einer VPC auf Secrets Manager zugreifen müssen, können Sie sicherstellen, dass Anforderungen an Secrets Manager von der VPC stammen, indem Sie eine Bedingung in Ihre Berechtigungsrichtlinien aufnehmen. Weitere Informationen erhalten Sie unter [Beschränken Sie Anfragen mit VPC-Endpunktbedingungen](best-practices.md#iam-contextkeys-vpcendpoint) und [Verwenden eines AWS Secrets Manager VPC-Endpunkts](vpc-endpoint-overview.md).
Stellen Sie sicher, dass Anfragen für den Zugriff auf das Secret von anderen AWS Diensten auch von der VPC kommen, da ihnen diese Richtlinie andernfalls den Zugriff verweigert.
**Example Anfragen müssen über einen VPC-Endpunkt eingehen**
Die folgende Richtlinie erlaubt es einem Benutzer z. B. nur dann, Secrets-Manager-Operationen auszuführen, wenn die Anforderung durch den angegebenen VPC-Endpunkt *`vpce-1234a5678b9012c`* geleitet wird.
****
```
{
"Id": "example-policy-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictGetSecretValueoperation",
"Effect": "Deny",
"Principal": "*",
"Action": "secretsmanager:GetSecretValue",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-12345678"
}
}
}
]
}
```
**Example Anfragen müssen von einer VPC kommen**
Die folgende Richtlinie lässt nur dann Befehle zur Erstellung und Verwaltung von Secrets zu, wenn sie von *`vpc-12345678`* stammen. Darüber hinaus erlaubt die Richtlinie Operationen, die auf den verschlüsselten Wert des Secrets zugreifen, nur dann, wenn die Anforderungen von `vpc-2b2b2b2b` stammen. Sie verwenden eine solche Richtlinie wie diese möglicherweise, wenn Sie eine Anwendung in einer VPC ausführen, aber eine zweite, isolierte VPC für die Verwaltungsfunktionen genutzt wird.
****
```
{
"Id": "example-policy-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAdministrativeActionsfromONLYvpc-12345678",
"Effect": "Deny",
"Principal": "*",
"Action": [
"secretsmanager:Create*",
"secretsmanager:Put*",
"secretsmanager:Update*",
"secretsmanager:Delete*",
"secretsmanager:Restore*",
"secretsmanager:RotateSecret",
"secretsmanager:CancelRotate*",
"secretsmanager:TagResource",
"secretsmanager:UntagResource"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:sourceVpc": "vpc-12345678"
}
}
},
{
"Sid": "AllowSecretValueAccessfromONLYvpc-2b2b2b2b",
"Effect": "Deny",
"Principal": "*",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:sourceVpc": "vpc-2b2b2b2b"
}
}
}
]
}
```
### Beispiel: Service-Prinzipal
Wenn die mit Ihrem Secret verknüpfte Ressourcenrichtlinie einen [AWS Service Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services) beinhaltet, empfehlen wir Ihnen, die SourceAccount globalen Bedingungsschlüssel [aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) und [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) zu verwenden. Die ARN- und Kontowerte werden nur dann in den Autorisierungskontext aufgenommen, wenn eine Anforderung von einem anderen AWS -Service an Secrets Manager eingeht. Diese Kombination von Bedingungen vermeidet ein potenziell [verwirrtes Stellvertreterszenario.](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
Wenn ein Ressourcen-ARN Zeichen enthält, die in einer Ressourcenrichtlinie nicht zugelassen sind, können Sie diesen Ressourcen-ARN nicht im Wert des `aws:SourceArn`-Bedingungsschlüssel verwenden. Verwenden Sie stattdessen den Bedingungsschlüssel `aws:SourceAccount`. Weitere Informationen finden Sie unter [IAM-Anforderungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-names).
Dienstprinzipale werden normalerweise nicht als Prinzipale in einer Richtlinie verwendet, die an ein Geheimnis angehängt ist, aber für einige AWS Dienste ist dies erforderlich. Informationen zu Ressourcenrichtlinien, die ein Service an ein Geheimnis anhängen muss, finden Sie in der Dokumentation des Services.
**Example Erlauben Sie einem Dienst, mithilfe eines Dienstprinzipals auf ein Geheimnis zuzugreifen**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"s3.amazonaws.com"
]
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:sourceArn": "arn:aws:s3::123456789012:*"
},
"StringEquals": {
"aws:sourceAccount": "123456789012"
}
}
}
]
}
```
# Steuern Sie den Zugriff auf geheime Daten mithilfe der attributebasierten Zugriffskontrolle (ABAC)
Die attributebasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen auf der Grundlage von Attributen oder Merkmalen des Benutzers, der Daten oder der Umgebung, z. B. der Abteilung, Geschäftseinheit oder anderer Faktoren, die das Autorisierungsergebnis beeinflussen könnten, definiert werden. *In werden AWS diese Attribute als Tags bezeichnet.*
Die Verwendung von Tags zur Kontrolle von Berechtigungen in Umgebungen, die schnell wachsen, ist hilfreich und unterstützt Sie in Situationen, in denen die Richtlinienverwaltung mühsam wird. ABAC-Regeln werden zur Laufzeit dynamisch ausgewertet, was bedeutet, dass sich der Zugriff der Benutzer auf Anwendungen und Daten sowie die Art der erlaubten Operationen automatisch auf der Grundlage der Kontextfaktoren in der Richtlinie ändern. Wenn ein Benutzer beispielsweise die Abteilung wechselt, wird der Zugriff automatisch angepasst, ohne dass die Berechtigungen aktualisiert oder neue Rollen angefordert werden müssen. Weitere Informationen finden Sie unter: [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS, [Definieren Sie Berechtigungen für den Zugriff auf geheime Daten auf der Grundlage von Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html). , und [skalieren Sie Ihre Autorisierungsanforderungen für Secrets Manager mithilfe von ABAC mit IAM Identity Center](https://aws.amazon.com/blogs/security/scale-your-authorization-needs-for-secrets-manager-using-abac-with-iam-identity-center/).
## Beispiel: Erlauben Sie einer Identität den Zugriff auf Geheimnisse mit bestimmten Tags
Die folgende Richtlinie ermöglicht `DescribeSecret` den Zugriff auf Geheimnisse mit einem Tag mit dem Schlüssel *ServerName* und dem Wert*ServerABC*. Wenn Sie diese Richtlinie an eine Identität anhängen, hat die Identität Zugriff auf alle Geheimnisse mit diesem Tag im Konto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "secretsmanager:DescribeSecret",
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/ServerName": "ServerABC"
}
}
}
}
```
------
## Beispiel: Erlauben Sie den Zugriff nur für Identitäten mit Tags, die mit den Tags von Geheimnissen übereinstimmen
Die folgende Richtlinie ermöglicht allen Identitäten im Konto den `GetSecretValue` Zugriff auf alle Geheimnisse im Konto, bei denen der Tag der Identität denselben Wert wie der *`AccessProject`* Tag des Geheimnisses hat. *`AccessProject`*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Condition": {
"StringEquals": {
"aws:ResourceTag/AccessProject": "${ aws:PrincipalTag/AccessProject }"
}
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*"
}
}
```
------
# AWS verwaltete Richtlinie für AWS Secrets Manager
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle AWS Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: SecretsManagerReadWrite
Diese Richtlinie gewährt read/write Zugriff auf Amazon RDS AWS Secrets Manager-, Amazon Redshift- und Amazon DocumentDB DocumentDB-Ressourcen, einschließlich der Genehmigung zur Beschreibung, sowie die Genehmigung zur Verwendung AWS KMS zum Verschlüsseln und Entschlüsseln von Geheimnissen. Diese Richtlinie gewährt auch die Erlaubnis, AWS CloudFormation Änderungssätze zu erstellen, Rotationsvorlagen aus einem Amazon S3 S3-Bucket abzurufen AWS, der von Amazon EC2 VPCs verwaltet wird, AWS Lambda Funktionen aufzulisten und zu beschreiben. Diese Berechtigungen werden in der Konsole benötigt, um die Rotation mit vorhandenen Rotationsfunktionen einzurichten.
Um neue Rotationsfunktionen zu erstellen, benötigen Sie auch die Erlaubnis, AWS CloudFormation Stacks und AWS Lambda Ausführungsrollen zu erstellen. Sie können die verwaltete [IAMFullAccess-Richtlinie](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IAMFullAccess.html) zuweisen. Siehe [Berechtigungen für Rotation](rotating-secrets-required-permissions-function.md).
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `secretsmanager` – Hiermit können Prinzipale alle Secrets-Manager-Aktionen ausführen.
+ `cloudformation`— Ermöglicht Prinzipalen das Erstellen von CloudFormation Stacks. Dies ist erforderlich, damit Principals, die die Konsole zum Aktivieren der Rotation verwenden, Lambda-Rotationsfunktionen über CloudFormation Stacks erstellen können. Weitere Informationen finden Sie unter [So verwendet Secrets Manager AWS CloudFormation](cloudformation.md#how-asm-uses-cfn).
+ `ec2`— Ermöglicht Prinzipalen die Beschreibung von Amazon VPCs EC2. Dies ist erforderlich, damit Prinzipale, die die Konsole nutzen, Rotationsfunktionen in derselben VPC erstellen können wie die Datenbank der Anmeldeinformationen, die sie in einem Secret speichern.
+ `kms`— Ermöglicht Prinzipalen die Verwendung von AWS KMS Schlüsseln für kryptografische Operationen. Dies ist erforderlich, damit Secrets Manager Secrets ver- und entschlüsseln kann. Weitere Informationen finden Sie unter [Geheime Verschlüsselung und Entschlüsselung in AWS Secrets Manager](security-encryption.md).
+ `lambda` – Hiermit können Prinzipale Lambda-Rotationsfunktionen auflisten. Dies ist erforderlich, damit Prinzipale, die die Konsole nutzen, vorhandene Rotationsfunktionen auswählen können.
+ `rds` – Hiermit können Prinzipale Cluster und Instances in Amazon RDS beschreiben. Dies ist erforderlich, damit Prinzipale, die die Konsole nutzen, Amazon-RDS-Cluster oder -Instances auswählen können.
+ `redshift` – Hiermit können Prinzipale Cluster in Amazon Redshift beschreiben. Dies ist erforderlich, damit Prinzipale, die die Konsole nutzen, Amazon-Redshift-Cluster auswählen können.
+ `redshift-serverless`— Ermöglicht Prinzipalen die Beschreibung von Namespaces in Amazon Redshift Serverless. Dies ist erforderlich, damit Prinzipale, die die Konsole verwenden, Amazon Redshift Serverless-Namespaces auswählen können.
+ `docdb-elastic` – Hiermit können Prinzipale elastische Cluster in Amazon DocumentDB beschreiben. Dies ist erforderlich, damit Prinzipale, die die Konsole nutzen, elastische Amazon-DocumentDB-Cluster auswählen können.
+ `tag` – Hiermit können Prinzipale alle getaggten Ressourcen im Konto abrufen.
+ `serverlessrepo`— Ermöglicht Prinzipalen das Erstellen von Änderungssätzen. CloudFormation Dies ist erforderlich, damit Prinzipale, die die Konsole nutzen, Lambda-Rotationsfunktionen erstellen können. Weitere Informationen finden Sie unter [So verwendet Secrets Manager AWS CloudFormation](cloudformation.md#how-asm-uses-cfn).
+ `s3`— Ermöglicht Prinzipalen das Abrufen von Objekten aus einem Amazon S3 S3-Bucket, der von AWS verwaltet wird. Dieser Bucket enthält Lambda [Rotationsfunktionsvorlagen](reference_available-rotation-templates.md). Diese Berechtigung ist erforderlich, damit Prinzipale, die die Konsole nutzen, Lambda-Rotationsfunktionen auf Grundlage der Vorlagen im Bucket erstellen können. Weitere Informationen finden Sie unter [So verwendet Secrets Manager AWS CloudFormation](cloudformation.md#how-asm-uses-cfn).
Die Richtlinie finden Sie im [SecretsManagerReadWrite JSON-Richtliniendokument](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecretsManagerReadWrite.html#SecretsManagerReadWrite-json).
## AWS verwaltete Richtlinie: AWSSecrets ManagerClientReadOnlyAccess
Diese Richtlinie ermöglicht den schreibgeschützten Zugriff auf AWS Secrets Manager geheime Daten für Client-Anwendungen. Sie ermöglicht Prinzipalen das Abrufen geheimer Werte und die Beschreibung geheimer Metadaten sowie die erforderlichen AWS KMS Berechtigungen zum Entschlüsseln von Geheimnissen, die mit vom Kunden verwalteten Schlüsseln verschlüsselt wurden.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `secretsmanager`— Ermöglicht es Prinzipalen, geheime Werte abzurufen und geheime Metadaten zu beschreiben.
+ `kms`— Ermöglicht Prinzipalen das Entschlüsseln von Geheimnissen mithilfe von Schlüsseln. AWS KMS Diese Berechtigung ist auf Schlüssel beschränkt, die von Secrets Manager unter dienstspezifischen Bedingungen verwendet werden.
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AWSSecretsManagerClientReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecretsManagerClientReadOnlyAccess.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## Secrets Manager Manager-Updates für AWS verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Secrets Manager an.
| Änderungen | Beschreibung | Date | Version |
| --- | --- | --- | --- |
| [AWSSecretsManagerClientReadOnlyAccess](#security-iam-awsmanpol-AWSSecretsManagerClientReadOnlyAccess)— Neue verwaltete Richtlinie | Secrets Manager hat eine neue verwaltete Richtlinie erstellt, um Client-Anwendungen schreibgeschützten Zugriff auf geheime Daten zu gewähren. Diese Richtlinie ermöglicht das Abrufen geheimer Werte und die Beschreibung geheimer Metadaten mit den erforderlichen AWS KMS Berechtigungen zum Entschlüsseln von Geheimnissen. | 5. November 2025 | v1 |
| [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite) – Aktualisierung auf eine bestehende Richtlinie | Diese Richtlinie wurde aktualisiert, um den beschreibenden Zugriff auf Amazon Redshift Serverless zu ermöglichen, sodass Konsolenbenutzer einen Amazon Redshift Serverless-Namespace wählen können, wenn sie einen Amazon Redshift Secret erstellen. | 12. März 2024 | v5 |
| [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite) – Aktualisierung auf eine bestehende Richtlinie | Diese Richtlinie wurde aktualisiert, um den Beschreibungszugriff auf elastische Amazon-DocumentDB-Cluster zu ermöglichen, sodass Konsolenbenutzer beim Erstellen eines Amazon-DocumentDB-Secrets einen elastischen Cluster auswählen können. | 12. September 2023 | v4 |
| [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite) – Aktualisierung auf eine bestehende Richtlinie | Diese Richtlinie wurde aktualisiert, um den Beschreibungszugriff auf Amazon Redshift zu ermöglichen, sodass Konsolenbenutzer beim Erstellen eines Amazon-Redshift-Secrets einen Amazon-Redshift-Cluster auswählen können. Das Update fügte auch neue Berechtigungen hinzu, um den Lesezugriff auf einen Amazon S3 S3-Bucket zu ermöglichen, der verwaltet wird AWS , in dem die Lambda-Rotationsfunktionsvorlagen gespeichert sind. | 24. Juni 2020 | v3 |
| [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite) – Aktualisierung auf eine bestehende Richtlinie | Diese Richtlinie wurde aktualisiert, um den Beschreibungszugriff auf Amazon-RDS-Cluster zu ermöglichen, sodass Konsolenbenutzer beim Erstellen eines Amazon-RDS-Secrets einen Cluster auswählen können. | 3. Mai 2018 | v2 |
| [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite) – Neue Richtlinie | Secrets Manager hat eine Richtlinie erstellt, um Berechtigungen zu gewähren, die für die Verwendung der Konsole mit vollständigem read/write Zugriff auf Secrets Manager erforderlich sind. | 04. April 2018 | v1 |
# Ermitteln Sie, wer Zugriff auf Ihre AWS Secrets Manager Geheimnisse hat
Standardmäßig haben IAM-Identitäten keine Berechtigung für den Zugriff auf Secrets. Bei der Autorisierung des Zugriffs auf ein Secret bewertet der Secrets Manager die dem Secret angefügte Secret-Richtlinie und alle identitätsbasierten Richtlinien, die dem IAM-Benutzer oder der Rolle angefügt sind, der/die die Anforderung sendet. Zu diesem Zweck verwendet der Secrets Manager einen Prozess ähnlich dem in [Determining whether a request is allowed or denied (Ermitteln, ob eine Anforderung erlaubt oder verweigert wird](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow) im *IAM-Benutzerhandbuch* beschriebenen.
Wenn mehrere Richtlinien auf eine Anforderung angewendet werden, verwendet Secrets Manager eine Hierarchie zum Steuern von Berechtigungen:
1. Wenn eine Anweisung in einer Richtlinie mit einem expliziten `deny` der Anforderungsaktion und Ressource entspricht:
Explizite `deny`-Codes überschreiben alles andere und blockieren die Aktion.
1. Wenn es keinen expliziten `deny`-Code gibt aber eine Anweisung mit einem expliziten `allow`-Code der Anforderungsaktion und Ressource entspricht:
Der explizite `allow`-Code gewährt der Aktion in der Anforderung Zugriff auf die Ressourcen in der Anweisung.
Wenn sich die Identität und das Geheimnis in zwei verschiedenen Konten befinden, muss sowohl `allow` in der Ressourcenrichtlinie für das Geheimnis als auch in der mit der Identität verknüpften Richtlinie eine vorhanden sein. Andernfalls wird die AWS Anfrage abgelehnt. Weitere Informationen finden Sie unter [Kontoübergreifender Zugriff](auth-and-access_examples_cross.md).
1. Wenn es keine Anweisung mit einem expliziten `allow`-Code gibt, die der Anforderungsaktion und Ressource entspricht:
AWS lehnt die Anfrage standardmäßig ab, was als *implizite* Ablehnung bezeichnet wird.
**Die ressourcenbasierte Richtlinie für ein Secret anzeigen**
+ Führen Sie eine der folgenden Aktionen aus:
+ Öffnen Sie die Secrets Manager Manager-Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/). Klicken Sie auf der Detail-Seite für Ihr Secret im Abschnitt **Resource permissions (Ressourcenberechtigungen)** auf **Edit permissions (Berechtigungen bearbeiten)**.
+ Verwenden Sie AWS CLI zum Aufrufen [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/get-resource-policy.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/get-resource-policy.html)oder AWS das SDK zum Aufrufen [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html).
**Bestimmen, wer über identitätsbasierte Richtlinien Zugriff hat**
+ Verwenden Sie den IAM-Richtliniensimulator. Weitere Informationen finden Sie unter [Testin IAM policies with the IAM policy simulator (Testen von IAM-Richtlinien mit dem IAM-Richtliniensimulator)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html).
# Greifen Sie von einem AWS Secrets Manager anderen Konto aus auf Geheimnisse zu
So können Sie Benutzern in einem Konto den Zugriff auf Secrets in einem anderen Konto gewähren (*Kontoübergreifender Zugriff*). Sie müssen den Zugriff sowohl in einer Ressourcenrichtlinie als auch in einer Identitätsrichtlinie zulassen. Dies unterscheidet sich von dem Gewähren des Zugriffs auf Identitäten in demselben Konto wie das Secret.
Die kontenübergreifende Berechtigung gilt nur für die folgenden Operationen:
+ [CancelRotateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_CancelRotateSecret.html)
+ [DeleteResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DeleteResourcePolicy.html)
+ [DeleteSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DeleteSecret.html)
+ [DescribeSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DescribeSecret.html)
+ [GetRandomPassword](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetRandomPassword.html)
+ [GetResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetResourcePolicy.html)
+ [GetSecretValue](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetSecretValue.html)
+ [ListSecretVersionIds](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ListSecretVersionIds.html)
+ [PutResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutResourcePolicy.html)
+ [PutSecretValue](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutSecretValue.html)
+ [RemoveRegionsFromReplication](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RemoveRegionsFromReplication.html)
+ [ReplicateSecretToRegions](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html)
+ [RestoreSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RestoreSecret.html)
+ [RotateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RotateSecret.html)
+ [StopReplicationToReplica](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_StopReplicationToReplica.html)
+ [TagResource](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_TagResource.html)
+ [UntagResource](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UntagResource.html)
+ [UpdateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UpdateSecret.html)
+ [UpdateSecretVersionStage](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UpdateSecretVersionStage.html)
+ [ValidateResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ValidateResourcePolicy.html)
Sie können den `BlockPublicPolicy` Parameter zusammen mit der [PutResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutResourcePolicy.html)Aktion verwenden, um Ihre Ressourcen zu schützen, indem Sie verhindern, dass der öffentliche Zugriff über die Ressourcenrichtlinien gewährt wird, die direkt mit Ihren Geheimnissen verknüpft sind. Sie können [IAM Access Analyzer auch verwenden, um den kontoübergreifenden Zugriff](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-preview-access) zu überprüfen.
Sie müssen auch zulassen, dass die Identität den KMS-Schlüssel verwendet, mit dem das Secret verschlüsselt ist. Das liegt daran, dass Sie das Von AWS verwalteter Schlüssel (`aws/secretsmanager`) nicht für den kontoübergreifenden Zugriff verwenden können. Stattdessen müssen Sie Ihr Secret mit einem von Ihnen erstellten KMS-Schlüssel verschlüsseln und ihm dann eine Schlüsselrichtlinie anhängen. Für die Erstellung von KMS-Schlüsseln fällt eine Gebühr an. Informationen zum Ändern des Verschlüsselungsschlüssels für ein Secret finden Sie unter [Ein AWS Secrets Manager Geheimnis ändern](manage_update-secret.md).
**Wichtig**
Durch die Gewährung von `secretsmanager:PutResourcePolicy` Berechtigungen durch ressourcenbasierte Richtlinien können Prinzipale, auch Benutzer in anderen Konten, Ihre ressourcenbasierten Richtlinien ändern. Diese Berechtigung ermöglicht es Prinzipalen, bestehende Berechtigungen zu erweitern und beispielsweise vollen Administratorzugriff auf geheime Daten zu erhalten. Wir empfehlen Ihnen, das Prinzip des [geringsten Zugriffs auf](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) Ihre Richtlinien anzuwenden. Weitere Informationen finden Sie unter [Ressourcenbasierte Richtlinien](auth-and-access_resource-policies.md).
In den folgenden Beispielrichtlinien wird davon ausgegangen, dass Sie ein Secret und einen Verschlüsselungsschlüssel in *Konto1*und eine Identität in *Konto2* besitzen, womit Sie auf den Secret-Wert zugreifen möchten.
**Schritt 1: Fügen Sie dem Secret in *Account1* eine Ressourcen-Richtlinie hinzu**
+ Die folgende Richtlinie ermöglicht *ApplicationRole* den *Account2* Zugriff auf das Geheimnis in*Account1*. Informationen zur Verwendung dieser Richtlinie finden Sie unter [Ressourcenbasierte Richtlinien](auth-and-access_resource-policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ApplicationRole"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*"
}
]
}
```
------
**Schritt 2: Fügen Sie der Schlüsselrichtlinie für den KMS-Schlüssel in *Account1* eine Anweisung hinzu**
+ Die folgende wichtige Richtlinienanweisung ermöglicht *ApplicationRole* die Verwendung des KMS-Schlüssels in*Account1*, um den geheimen Eingang zu entschlüsseln. *Account2* *Account1* Um diese Anweisung zu verwenden, fügen Sie sie der Schlüsselrichtlinie für Ihren KMS-Schlüssel hinzu. Weitere Informationen finden Sie unter [Changing a key policy (Ändern einer Schlüsselrichtlinie)](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html).
```
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::Account2:role/ApplicationRole"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
```
**Schritt 3: Hängen Sie eine Identitätsrichtlinie an die Identität in *Account2* an**
+ Die folgende Richtlinie ermöglicht *ApplicationRole* den *Account2* Zugriff auf den geheimen Wert *Account1* und die Entschlüsselung des Geheimwerts mithilfe des ebenfalls enthaltenen Verschlüsselungsschlüssels. *Account1* Informationen zur Verwendung dieser Richtlinie finden Sie unter [Identitätsbasierte Richtlinien](auth-and-access_iam-policies.md). Sie finden den ARN für Ihr Secret in der Secrets-Manager-Konsole auf der Seite mit den Secret-Details unter **Secret ARN**. Alternativ können Sie [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/describe-secret.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/describe-secret.html) aufrufen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-1:123456789012:secret:secretName-AbCdEf"
},
{
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/EncryptionKey"
}
]
}
```
------
# Greifen Sie von einer lokalen Umgebung aus auf Geheimnisse zu
Sie können AWS Identity and Access Management Roles Anywhere verwenden, um temporäre Sicherheitsanmeldeinformationen in IAM für Workloads wie Server, Container und Anwendungen abzurufen, die außerhalb von ausgeführt werden. AWS Ihre Workloads können dieselben IAM-Richtlinien und IAM-Rollen verwenden, die Sie mit AWS Anwendungen für den Zugriff auf Ressourcen verwenden. AWS Mit IAM Roles Anywhere können Sie Secrets Manager zum Speichern und Verwalten von Anmeldeinformationen verwenden, auf die sowohl Ressourcen in AWS als auch On-Premises-Geräte wie Anwendungsserver zugreifen können. Weitere Informationen finden Sie im [Benutzerhandbuch zu IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html).