Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Ressourcenbasierte Richtlinien
<a name="auth-and-access_resource-policies"></a>

Bei einer ressourcenbasierten Richtlinie geben Sie an, wer auf Secrets zugreifen darf und welche Aktionen die Identität für die Secrets ausführen darf. Sie können ressourcenbasierte Richtlinien für Folgendes verwenden:
+ Gewähren Sie Zugriff auf ein einzelnes Secret für mehrere Benutzer und Rollen. 
+ Gewähren Sie Benutzern oder Rollen in anderen AWS Konten Zugriff.

Wenn Sie eine ressourcenbasierte Richtlinie zu einem Secret in der Konsole zuordnen, verwendet Secrets Manager die Automated-Reasoning-Engine [Zelkova](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/) und die API `ValidateResourcePolicy`, um zu verhindern, dass Sie einer breiten Palette von IAM-Prinzipalen Zugriff auf Ihre Secrets gewähren. Alternativ können Sie auch die `PutResourcePolicy`-API mit dem `BlockPublicPolicy`-Parameter von der CLI oder dem SDK aus aufrufen. 

**Wichtig**  
Die Überprüfung der Ressourcenrichtlinien und der `BlockPublicPolicy` Parameter tragen zum Schutz Ihrer Ressourcen bei, indem verhindert wird, dass der öffentliche Zugriff über die Ressourcenrichtlinien gewährt wird, die direkt mit Ihren Geheimnissen verknüpft sind. Zusätzlich zur Nutzung dieser Funktionen sollten Sie die folgenden Richtlinien sorgfältig prüfen, um sicherzustellen, dass sie keinen öffentlichen Zugriff gewähren:  
Identitätsbasierte Richtlinien, die mit zugehörigen AWS Principals verknüpft sind (z. B. IAM-Rollen) 
Ressourcenbasierte Richtlinien, die mit zugehörigen AWS Ressourcen verknüpft sind (z. B. () -Schlüssel) AWS Key Management Service AWS KMS
Informationen zu den Zugriffsberechtigungen für Ihre geheimen Daten finden Sie unter. [Bestimmen, wer Berechtigungen für Ihre -Secrets hat](determine-acccess_examine-iam-policies.md)

**Die Ressourcenrichtlinie für ein Secret anzeigen, ändern oder löschen (Konsole)**

1. Öffnen Sie die Secrets Manager Manager-Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Wählen Sie aus der Liste der Secrets Ihr Secret aus.

1. Wählen Sie auf der Seite zu den Secret-Details auf der Registerkarte **Übersicht** im Abschnitt **Ressourcenberechtigungen** die Option **Berechtigungen bearbeiten** aus.

1. Führen Sie einen der folgenden Schritte im Codefeld aus und wählen Sie dann die Option **Save (Speichern)**:
   + Um eine Ressourcenrichtlinie anzuhängen oder zu ändern, geben Sie die Richtlinie ein. 
   + Um die Richtlinie zu löschen, löschen Sie den Inhalt des Codefelds.

## AWS CLI
<a name="auth-and-access_resource_cli"></a>

**Example Eine Ressourcenrichtlinie abrufen**  
Im folgenden [https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-resource-policy.html](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-resource-policy.html)-Beispiel wird die an ein Secret angefügte ressourcenbasierte Richtlinie abgerufen.  

```
aws secretsmanager get-resource-policy \
    --secret-id MyTestSecret
```

**Example Eine Ressourcenrichtlinie löschen**  
Im folgenden [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/delete-resource-policy.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/delete-resource-policy.html)-Beispiel wird die an ein Secret angefügte ressourcenbasierte Richtlinie gelöscht.  

```
aws secretsmanager delete-resource-policy \
    --secret-id MyTestSecret
```

**Example Eine Ressourcenrichtlinie hinzufügen**  
Im folgenden [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/put-resource-policy.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/put-resource-policy.html)-Beispiel wird einem Secret eine Berechtigungsrichtlinie hinzugefügt, wobei zunächst geprüft wird, ob die Richtlinie keinen umfassenden Zugriff auf das Secret gewährt. Die Richtlinie wird aus einer Datei gelesen. Weitere Informationen finden Sie im AWS CLI Benutzerhandbuch unter [Laden von AWS CLI Parametern aus einer Datei](https://docs.aws.amazon.com//cli/latest/userguide/cli-usage-parameters-file.html).  

```
aws secretsmanager put-resource-policy \
    --secret-id MyTestSecret \
    --resource-policy file://mypolicy.json \
    --block-public-policy
```
Inhalt von `mypolicy.json`:    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/MyRole"
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*"
        }
    ]
}
```

## AWS SDK
<a name="auth-and-access_resource_sdk"></a>

Um die Richtlinie abzurufen, die dem Secret zugeordnet ist, verwenden Sie [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html).

Um die Richtlinie zu löschen, die dem Secret zugeordnet ist, verwenden Sie [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteResourcePolicy.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteResourcePolicy.html).

Um eine Richtlinie zu einem Secret hinzuzufügen, verwenden Sie [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html). Wenn bereits eine Richtlinie angefügt ist, ersetzt der Befehl sie durch die neue Richtlinie. Die Richtlinie muss als JSON-strukturierter Text formatiert sein. Weitere Informationen finden Sie unter [JSON policy document structure (JSON-Richtliniendokumentstruktur)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies-introduction).

Weitere Informationen finden Sie unter [AWS SDKs](asm_access.md#asm-sdks).

## Beispiele
<a name="auth-and-access_resource-policy-examples"></a>

**Topics**
+ [Beispiel: Berechtigung zum Abrufen von einzelnen Secret-Werten](#auth-and-access_examples_read)
+ [Beispiel: Berechtigungen und VPCs](#auth-and-access_examples_vpc)
+ [Beispiel: Service-Prinzipal](#auth-and-access_service)

### Beispiel: Berechtigung zum Abrufen von einzelnen Secret-Werten
<a name="auth-and-access_examples_read"></a>

Um die Berechtigung zum Abrufen von Secret-Werten zu erteilen, können Sie Secrets oder Identitäten Richtlinien zuordnen. Hilfe zum Festlegen des zu verwendenden Richtlinientyps finden Sie unter [Identity-based policies and resource-based policies (Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html). Informationen zum Erstellen von Richtlinien finden Sie unter [Ressourcenbasierte Richtlinien](#auth-and-access_resource-policies) und [Identitätsbasierte Richtlinien](auth-and-access_iam-policies.md).

Dieses Beispiel ist nützlich, wenn Sie mehreren Benutzern oder Rollen Zugriff auf ein einzelnes Secret gewähren möchten. Informationen zum Gewähren der Berechtigung zum Abrufen einer Gruppe von Secrets in einem Batch-API-Aufruf finden Sie unter [Beispiel: Berechtigung zum Abrufen einer Gruppe geheimer Werte in einem Batch](auth-and-access_iam-policies.md#auth-and-access_examples_batch).

**Example Lies ein Geheimnis**  
Sie können Zugriff auf ein Secret gewähren, indem Sie die folgende Richtlinie an das Secret anfügen.    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/EC2RoleToAccessSecrets"
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*"
        }
    ]
}
```

### Beispiel: Berechtigungen und VPCs
<a name="auth-and-access_examples_vpc"></a>

Wenn Sie innerhalb einer VPC auf Secrets Manager zugreifen müssen, können Sie sicherstellen, dass Anforderungen an Secrets Manager von der VPC stammen, indem Sie eine Bedingung in Ihre Berechtigungsrichtlinien aufnehmen. Weitere Informationen erhalten Sie unter [Beschränken Sie Anfragen mit VPC-Endpunktbedingungen](best-practices.md#iam-contextkeys-vpcendpoint) und [Verwenden eines AWS Secrets Manager VPC-Endpunkts](vpc-endpoint-overview.md).

Stellen Sie sicher, dass Anfragen für den Zugriff auf das Secret von anderen AWS Diensten auch von der VPC kommen, da ihnen diese Richtlinie andernfalls den Zugriff verweigert.

**Example Anfragen müssen über einen VPC-Endpunkt eingehen**  
Die folgende Richtlinie erlaubt es einem Benutzer z. B. nur dann, Secrets-Manager-Operationen auszuführen, wenn die Anforderung durch den angegebenen VPC-Endpunkt *`vpce-1234a5678b9012c`* geleitet wird.    
****  

```
{
"Id": "example-policy-1",
"Version":"2012-10-17",		 	 	 
"Statement": [
{
  "Sid": "RestrictGetSecretValueoperation",
  "Effect": "Deny",
  "Principal": "*",
  "Action": "secretsmanager:GetSecretValue",
  "Resource": "*",
  "Condition": {
    "StringNotEquals": {
      "aws:sourceVpce": "vpce-12345678"
    }
  }
}
]
}
```

**Example Anfragen müssen von einer VPC kommen**  
Die folgende Richtlinie lässt nur dann Befehle zur Erstellung und Verwaltung von Secrets zu, wenn sie von *`vpc-12345678`* stammen. Darüber hinaus erlaubt die Richtlinie Operationen, die auf den verschlüsselten Wert des Secrets zugreifen, nur dann, wenn die Anforderungen von `vpc-2b2b2b2b` stammen. Sie verwenden eine solche Richtlinie wie diese möglicherweise, wenn Sie eine Anwendung in einer VPC ausführen, aber eine zweite, isolierte VPC für die Verwaltungsfunktionen genutzt wird.     
****  

```
{
"Id": "example-policy-2",
"Version":"2012-10-17",		 	 	 
"Statement": [
{
  "Sid": "AllowAdministrativeActionsfromONLYvpc-12345678",
  "Effect": "Deny",
  "Principal": "*",
  "Action": [
    "secretsmanager:Create*",
    "secretsmanager:Put*",
    "secretsmanager:Update*",
    "secretsmanager:Delete*",
    "secretsmanager:Restore*",
    "secretsmanager:RotateSecret",
    "secretsmanager:CancelRotate*",
    "secretsmanager:TagResource",
    "secretsmanager:UntagResource"
  ],
  "Resource": "*",
  "Condition": {
    "StringNotEquals": {
      "aws:sourceVpc": "vpc-12345678"
    }
  }
},
{
  "Sid": "AllowSecretValueAccessfromONLYvpc-2b2b2b2b",
  "Effect": "Deny",
  "Principal": "*",
  "Action": [
    "secretsmanager:GetSecretValue"
  ],
  "Resource": "*",
  "Condition": {
    "StringNotEquals": {
      "aws:sourceVpc": "vpc-2b2b2b2b"
    }
  }
}
]
}
```

### Beispiel: Service-Prinzipal
<a name="auth-and-access_service"></a>

Wenn die mit Ihrem Secret verknüpfte Ressourcenrichtlinie einen [AWS Service Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services) beinhaltet, empfehlen wir Ihnen, die SourceAccount globalen Bedingungsschlüssel [aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) und [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) zu verwenden. Die ARN- und Kontowerte werden nur dann in den Autorisierungskontext aufgenommen, wenn eine Anforderung von einem anderen AWS -Service an Secrets Manager eingeht. Diese Kombination von Bedingungen vermeidet ein potenziell [verwirrtes Stellvertreterszenario.](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). 

Wenn ein Ressourcen-ARN Zeichen enthält, die in einer Ressourcenrichtlinie nicht zugelassen sind, können Sie diesen Ressourcen-ARN nicht im Wert des `aws:SourceArn`-Bedingungsschlüssel verwenden. Verwenden Sie stattdessen den Bedingungsschlüssel `aws:SourceAccount`. Weitere Informationen finden Sie unter [IAM-Anforderungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-names).

Dienstprinzipale werden normalerweise nicht als Prinzipale in einer Richtlinie verwendet, die an ein Geheimnis angehängt ist, aber für einige AWS Dienste ist dies erforderlich. Informationen zu Ressourcenrichtlinien, die ein Service an ein Geheimnis anhängen muss, finden Sie in der Dokumentation des Services.

**Example Erlauben Sie einem Dienst, mithilfe eines Dienstprinzipals auf ein Geheimnis zuzugreifen**    
****  

```
{
"Version":"2012-10-17",		 	 	 
"Statement": [
{
  "Effect": "Allow",
  "Principal": {
    "Service": [
      "s3.amazonaws.com"
    ]
  },
  "Action": "secretsmanager:GetSecretValue",
  "Resource": "*",
  "Condition": {
    "ArnLike": {
      "aws:sourceArn": "arn:aws:s3::123456789012:*"
    },
    "StringEquals": {
      "aws:sourceAccount": "123456789012"
    }
  }

}
]
}
```