Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Autenticazione e controllo degli accessi per Gestione dei segreti AWS
Utilizza Secrets Manager[AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) per proteggere l'accesso ai segreti. IAM fornisce autenticazione e controllo degli accessi. *Autenticazione* verifica l'identità di coloro che effettuano le richieste. Secrets Manager utilizza un processo di accesso con le password, le chiavi di accesso e l'autenticazione a più fattori (MFA) per verificare l'identità degli utenti. Vedi [Accesso a AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html). *Autorizzazione* assicura che solo gli individui approvati possano eseguire operazioni sulle risorse AWS ad esempio sui segreti. Secrets Manager utilizza le policy per definire chi ha accesso a quali risorse e quali azioni l'identità può intraprendere su tali risorse. Vedere [Autorizzazioni e policy in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).
**Topics**
+ [Riferimento alle autorizzazioni per Gestione dei segreti AWS](#reference_iam-permissions)
+ [Autorizzazioni di amministrazione di Secrets Manager](#auth-and-access_admin)
+ [Autorizzazioni per accedere ai segreti](#auth-and-access_secrets)
+ [Autorizzazioni per le funzioni di rotazione Lambda](#auth-and-access_rotate)
+ [Autorizzazioni per le chiavi di crittografia](#auth-and-access_encrypt)
+ [Autorizzazioni per la replica](#auth-and-access_replication)
+ [Policy basate sull’identità](auth-and-access_iam-policies.md)
+ [Policy basate sulle risorse](auth-and-access_resource-policies.md)
+ [Controlla l'accesso ai segreti utilizzando il controllo degli accessi basato sugli attributi (ABAC)](auth-and-access-abac.md)
+ [AWS politica gestita per Gestione dei segreti AWS](reference_available-policies.md)
+ [Determina chi ha i permessi per accedere ai tuoi segreti Gestione dei segreti AWS](determine-acccess_examine-iam-policies.md)
+ [Accedi ai Gestione dei segreti AWS segreti da un altro account](auth-and-access_examples_cross.md)
+ [Accedi ai segreti da un ambiente locale](auth-and-access-on-prem.md)
## Riferimento alle autorizzazioni per Gestione dei segreti AWS
Il riferimento alle autorizzazioni per Secrets Manager è disponibile nella sezione [Azioni, risorse e chiavi di condizione](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecretsmanager.html) del *Service Authorization Reference*. Gestione dei segreti AWS
## Autorizzazioni di amministrazione di Secrets Manager
Per concedere le autorizzazioni di amministratore di Secrets Manager, seguire le istruzioni riportate in [Aggiunta e rimozione di autorizzazioni per identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html), e allegare i seguenti criteri:
+ [SecretsManagerReadWrite](reference_available-policies.md#security-iam-awsmanpol-SecretsManagerReadWrite)
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
Si consiglia di non concedere autorizzazioni di amministratore agli utenti finali. Sebbene ciò consente agli utenti di creare e gestire i propri segreti, l'autorizzazione necessaria per abilitare la rotazione (IAMFullAccess) concede autorizzazioni significative che non sono appropriate per gli utenti finali.
## Autorizzazioni per accedere ai segreti
Utilizzando le policy di autorizzazione IAM, puoi controllare quali utenti o servizi possono accedere ai segreti. Una *policy di autorizzazioni* descrive chi può eseguire quali azioni su quali risorse. Puoi:
+ [Policy basate sull’identità](auth-and-access_iam-policies.md)
+ [Policy basate sulle risorse](auth-and-access_resource-policies.md)
## Autorizzazioni per le funzioni di rotazione Lambda
Secrets Manager utilizza AWS Lambda funzioni per [ruotare i segreti](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html). La funzione Lambda deve avere accesso al segreto e al database o al servizio per cui il segreto contiene le credenziali. Per informazioni, consulta [Autorizzazioni per la rotazione](rotating-secrets-required-permissions-function.md).
## Autorizzazioni per le chiavi di crittografia
Secrets Manager utilizza le chiavi AWS Key Management Service (AWS KMS) per [crittografare i segreti](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html). Dispone Chiave gestita da AWS `aws/secretsmanager` automaticamente delle autorizzazioni corrette. Se si utilizza una chiave KMS diversa, Secrets Manager necessita delle autorizzazioni per tale chiave. Per informazioni, consulta [Autorizzazioni per la chiave KMS](security-encryption.md#security-encryption-authz).
## Autorizzazioni per la replica
Utilizzando le policy di autorizzazione IAM, puoi controllare quali utenti o servizi possono replicare i tuoi segreti in altre regioni. Per informazioni, consulta [Impedire la Gestione dei segreti AWS replica](replicate-secrets-permissions.md).
# Policy basate sull’identità
Come allegare policy di autorizzazioni a [identità, utenti, gruppi, ruoli, servizi e risorse IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html). In una policy basata sull'identità, specifichi a quali segreti può accedere l'identità e le azioni che l'identità può eseguire sui segreti. Per ulteriori informazioni, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
Puoi concedere autorizzazioni a un ruolo che rappresenta un'applicazione o un utente in un altro servizio. Ad esempio, un'applicazione in esecuzione su un'istanza Amazon EC2 potrebbe dover accedere a un database. È possibile creare un ruolo IAM associato al profilo dell'istanza EC2 e quindi utilizzare una policy di autorizzazioni per concedere al ruolo l'accesso al segreto che contiene le credenziali per il database. Per ulteriori informazioni, consulta [Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni in esecuzione su istanze di Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Altri servizi a cui è possibile allegare i ruoli includono [Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/dg/c-getting-started-using-spectrum.html), [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-permissions.html) ed [Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_execution_IAM_role.html).
Puoi concedere autorizzazioni agli utenti autenticati da un sistema di identità diverso da IAM. Ad esempio, è possibile associare ruoli IAM; a utenti che utilizzano app per dispositivi mobili e che effettuano l'accesso con Amazon Cognito. Il ruolo concede all'app le credenziali provvisorie con le autorizzazioni nella policy di autorizzazioni del ruolo. È quindi possibile utilizzare una policy di autorizzazione per concedere al ruolo l'accesso al segreto. Per ulteriori informazioni, consulta [Provider di identità e federazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html).
Si possono utilizzare policy basate su identità per:
+ Concedi un accesso alle identità a più segreti.
+ Controllare chi può creare nuovi segreti e chi può accedere a segreti che non sono ancora stati creati.
+ Concedi un accesso a un gruppo IAM ai segreti.
**Topics**
+ [Esempio: Autorizzazione per recuperare valori segreti individuali](#auth-and-access_examples_identity_read)
+ [Esempio: autorizzazione a leggere e descrivere singoli segreti](#auth-and-access_examples-read-and-describe)
+ [Esempio: autorizzazione a recuperare un gruppo di valori segreti in un batch](#auth-and-access_examples_batch)
+ [Esempio: il carattere jolly](#auth-and-access_examples_wildcard)
+ [Esempio: Autorizzazione per creare segreti](#auth-and-access_examples_create)
+ [Esempio: nega una AWS KMS chiave specifica per crittografare i segreti](#auth-and-access_examples_kmskey)
## Esempio: Autorizzazione per recuperare valori segreti individuali
Per concedere il permesso di recuperare valori segreti, è possibile allegare policy a segreti o identità. Per informazioni sul tipo di criterio da utilizzare, vedere [Policy basate su identità e policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html). Per informazioni sul collegamento di una policy a un'identità, vedere [Policy basate sulle risorse](auth-and-access_resource-policies.md) e [Policy basate sull’identità](#auth-and-access_iam-policies).
Questo esempio è utile quando si desidera concedere l'accesso a un gruppo IAM. Per concedere l'autorizzazione a recuperare un gruppo di segreti in una chiamata API batch, consulta [Esempio: autorizzazione a recuperare un gruppo di valori segreti in un batch](#auth-and-access_examples_batch).
**Example Leggi un segreto crittografato utilizzando una chiave gestita dal cliente**
Se un segreto è crittografato utilizzando una chiave gestita dal cliente, puoi concedere l'accesso alla lettura del segreto allegando la seguente politica a un'identità. \$1
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-1:123456789012:secret:secretName-AbCdEf"
},
{
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
## Esempio: autorizzazione a leggere e descrivere singoli segreti
**Example Leggi e descrivi un segreto**
È possibile concedere l'accesso a un segreto allegando a un'identità la policy seguente.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": "arn:aws:secretsmanager:us-east-1:123456789012:secret:secretName-AbCdEf"
}
]
}
```
## Esempio: autorizzazione a recuperare un gruppo di valori segreti in un batch
**Example Leggi un gruppo di segreti in un batch**
Allegando a un'identità la policy seguente, è possibile concedere l'accesso per recuperare un gruppo di segreti in una chiamata API batch. La policy limita il chiamante in modo che possa recuperare solo i segreti specificati da*SecretARN1*, e *SecretARN2**SecretARN3*, anche se la chiamata batch include altri segreti. Se il chiamante richiede anche altri segreti nella chiamata API batch, Secrets Manager non li restituirà. [Per ulteriori informazioni, vedere. `BatchGetSecretValue`](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html) .
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:BatchGetSecretValue",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secretName1-AbCdEf",
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secretName2-AbCdEf",
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secretName3-AbCdEf"
]
}
]
}
```
## Esempio: il carattere jolly
È possibile utilizzare caratteri jolly per includere un set di valori in un elemento della policy.
**Example Accedi a tutti i segreti di un percorso**
La seguente politica consente l'accesso per recuperare tutti i segreti il cui nome inizia con "»*TestEnv/*.
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-1:123456789012:secret:TestEnv/*"
}
}
```
**Example Accedi ai metadati relativi a tutti i segreti**
Le seguenti sovvenzioni `DescribeSecret` e le autorizzazioni che iniziano con `List`: `ListSecrets` e `ListSecretVersionIds`.
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:List*"
],
"Resource": "*"
}
}
```
**Example Corrisponde al nome segreto**
La policy seguente concede tutte le autorizzazioni di Secrets Manager per un segreto, per nome. Per utilizzare questa policy, consultare [Policy basate sull’identità](#auth-and-access_iam-policies).
Per abbinare un nome segreto, creare l'ARN per il segreto mettendo insieme la regione, l'ID dell'Account, il nome segreto e il carattere jolly (`?`) per abbinare singoli caratteri casuali. Secrets Manager aggiunge sei caratteri casuali ai nomi segreti come parte del loro ARN, per poter utilizzare questo carattere jolly per abbinare tali caratteri. Se si utilizza la sintassi `"another_secret_name-*"`, Secret Manager individua la corrispondenza non solo del determinato segreto con i 6 caratteri casuali, ma anche di `"another_secret_name-a1b2c3"`.
Perché puoi prevedere tutte le parti dell'ARN di un segreto eccetto i 6 caratteri casuali, usando il carattere jolly `'??????'` la sintassi ti consente di concedere le autorizzazioni in modo sicuro a un segreto che non esiste ancora. Tuttavia, tieni presente che, se elimini il segreto e lo ricrei con lo stesso nome, l'utente riceve automaticamente l'autorizzazione per il nuovo segreto, anche se i 6 caratteri sono cambiati.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:a_specific_secret_name-a1b2c3",
"arn:aws:secretsmanager:us-east-1:123456789012:secret:another_secret_name-??????"
]
}
]
}
```
## Esempio: Autorizzazione per creare segreti
Per concedere a un utente le autorizzazioni per creare un segreto, allegare una policy di autorizzazioni a un gruppo IAM a cui appartiene l'utente. Consultare [Gruppi di utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html).
**Example Crea segreti**
La policy seguente concede l'autorizzazione per creare segreti e visualizzare un elenco di segreti. Per utilizzare questa policy, consultare [Policy basate sull’identità](#auth-and-access_iam-policies).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:ListSecrets"
],
"Resource": "*"
}
]
}
```
## Esempio: nega una AWS KMS chiave specifica per crittografare i segreti
**Importante**
Per negare una chiave gestita dal cliente, ti consigliamo di limitare l'accesso utilizzando una politica o una concessione di chiavi. Per ulteriori informazioni, consulta [Autenticazione e controllo degli accessi AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
**Example Nega la chiave gestita AWS `aws/secretsmanager`**
La seguente politica nega l'uso di Chiave gestita da AWS `aws/secretsmanager` per la creazione o l'aggiornamento di segreti. Questa politica richiede che i segreti vengano crittografati utilizzando una chiave gestita dal cliente. La policy include due dichiarazioni:
1. La prima dichiarazione`Sid: "RequireCustomerManagedKeysOnSecrets"`, nega le richieste di creazione o aggiornamento di segreti utilizzando. Chiave gestita da AWS `aws/secretsmanager`
1. La seconda istruzione`Sid: "RequireKmsKeyIdParameterOnCreate"`, nega le richieste di creazione di segreti che non includono una chiave KMS, poiché Secrets Manager utilizzerebbe per impostazione predefinita il. Chiave gestita da AWS `aws/secretsmanager`
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RequireCustomerManagedKeysOnSecrets",
"Effect": "Deny",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:UpdateSecret"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"secretsmanager:KmsKeyArn": ""
}
}
},
{
"Sid": "RequireKmsKeyIdParameterOnCreate",
"Effect": "Deny",
"Action": "secretsmanager:CreateSecret",
"Resource": "*",
"Condition": {
"Null": {
"secretsmanager:KmsKeyArn": "true"
}
}
}
]
}
```
# Policy basate sulle risorse
In una policy basata sulle risorse, si specifica chi può accedere al segreto e le azioni che è possibile eseguire sul segreto. Le policy basate su risorse possono essere utilizzate per:
+ Concedre l'accesso a più utenti o ruoli ad un singolo segreto.
+ Concedi l'accesso a utenti o ruoli in altri AWS account.
Quando si allega una policy basata sulle risorse a un segreto nella console, Secrets Manager utilizza il motore di ragionamento automatico [Zelkova](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/) e l'API `ValidateResourcePolicy` per impedirti di concedere a una vasta gamma di entità IAM l'accesso ai tuoi segreti. In alternativa, è possibile chiamare `PutResourcePolicy` API con `BlockPublicPolicy` parametro da CLI o SDK.
**Importante**
La convalida della politica delle risorse e del `BlockPublicPolicy` parametro aiutano a proteggere le risorse impedendo che l'accesso pubblico venga concesso attraverso le politiche relative alle risorse direttamente collegate ai segreti dell'utente. Oltre a utilizzare queste funzionalità, esamina attentamente le seguenti politiche per verificare che non garantiscano l'accesso pubblico:
Politiche basate sull'identità collegate ai AWS principali associati (ad esempio, ruoli IAM)
Politiche basate sulle risorse collegate alle AWS risorse associate (ad esempio, () chiavi) AWS Key Management Service AWS KMS
Per rivedere le autorizzazioni relative ai tuoi segreti, consulta. [Determinazione di chi ha le autorizzazioni per i segreti](determine-acccess_examine-iam-policies.md)
**Come visualizzare, modificare o eliminare la policy di risorse per un segreto (console)**
1. Apri la console Secrets Manager all'indirizzo [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Dall'elenco dei segreti, scegli il segreto.
1. Nella pagina dei dettagli del segreto, nella sezione **Panoramica**, nella sezione **Autorizzazioni risorse**, scegli **Modifica autorizzazioni**.
1. Nel campo Codice, eseguire una delle operazioni seguenti, quindi scegliere **Save (Salva)**:
+ Per allegare o modificare una policy delle risorse, immettere la policy.
+ Per eliminare la policy, deselezionare il campo del codice.
## AWS CLI
**Example Recupero di una politica sulle risorse**
L'esempio di [https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-resource-policy.html](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-resource-policy.html) seguente mostra come recuperare la policy basata su risorse collegata a un segreto.
```
aws secretsmanager get-resource-policy \
--secret-id MyTestSecret
```
**Example Eliminazione di una policy sulle risorse**
L'esempio di [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/delete-resource-policy.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/delete-resource-policy.html) seguente mostra come eliminare la policy basata su risorse collegata a un segreto.
```
aws secretsmanager delete-resource-policy \
--secret-id MyTestSecret
```
**Example Aggiunta di una policy sulle risorse**
L'esempio di [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/put-resource-policy.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/put-resource-policy.html) seguente mostra come aggiungere una policy di autorizzazioni a un segreto, verificando innanzitutto che la policy non fornisca un accesso ampio al segreto. La policy viene letta da un file. Per ulteriori informazioni, consulta [Caricamento AWS CLI dei parametri da un file](https://docs.aws.amazon.com//cli/latest/userguide/cli-usage-parameters-file.html) nella Guida AWS CLI per l'utente.
```
aws secretsmanager put-resource-policy \
--secret-id MyTestSecret \
--resource-policy file://mypolicy.json \
--block-public-policy
```
Contenuto di `mypolicy.json`:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/MyRole"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*"
}
]
}
```
## AWS SDK
Per recuperare la policy collegata a un segreto, utilizzare [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html).
Per eliminare una policy collegata a un segreto, utilizzare [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteResourcePolicy.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteResourcePolicy.html).
Per collegare una policy a un segreto, utilizzare [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html). Se è già associata una policy, il comando la sostituisce con la nuova policy. La policy deve essere formattata come testo strutturato JSON. Vedere [Struttura dei documenti di policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies-introduction).
Per ulteriori informazioni, consulta [AWS SDKs](asm_access.md#asm-sdks).
## Esempi
**Topics**
+ [Esempio: Autorizzazione per recuperare valori segreti individuali](#auth-and-access_examples_read)
+ [Esempio: autorizzazioni e VPCs](#auth-and-access_examples_vpc)
+ [Esempio: Principale del servizio](#auth-and-access_service)
### Esempio: Autorizzazione per recuperare valori segreti individuali
Per concedere il permesso di recuperare valori segreti, è possibile allegare policy a segreti o identità. Per informazioni sul tipo di criterio da utilizzare, vedere [Policy basate su identità e policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html). Per informazioni sul collegamento di una policy a un'identità, vedere [Policy basate sulle risorse](#auth-and-access_resource-policies) e [Policy basate sull’identità](auth-and-access_iam-policies.md).
Questo esempio è utile quando si desidera concedere l'accesso a un singolo segreto a più utenti o ruoli. Per concedere l'autorizzazione a recuperare un gruppo di segreti in una chiamata API batch, consulta [Esempio: autorizzazione a recuperare un gruppo di valori segreti in un batch](auth-and-access_iam-policies.md#auth-and-access_examples_batch).
**Example Leggi un segreto**
È possibile concedere l'accesso a un segreto allegando a tale segreto la policy seguente.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/EC2RoleToAccessSecrets"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*"
}
]
}
```
### Esempio: autorizzazioni e VPCs
Se è necessario accedere a Secrets Manager da un VPC, è possibile assicurarsi che le richieste a Secrets Manager provengano dal VPC includendo una condizione nelle policy di autorizzazione. Per ulteriori informazioni, consultare [Limita le richieste con le condizioni degli endpoint VPC](best-practices.md#iam-contextkeys-vpcendpoint) e [Utilizzo di un Gestione dei segreti AWS endpoint VPC](vpc-endpoint-overview.md).
Assicurati che le richieste di accesso al segreto provenienti da altri AWS servizi provengano anche dal VPC, altrimenti questa politica negherà loro l'accesso.
**Example Richiedi che le richieste arrivino tramite un endpoint VPC**
La seguente policy consente all'utente di eseguire operazioni Secret Manager solo quando la richiesta proviene tramite l'endpoint VPC specificato *`vpce-1234a5678b9012c`*.
****
```
{
"Id": "example-policy-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictGetSecretValueoperation",
"Effect": "Deny",
"Principal": "*",
"Action": "secretsmanager:GetSecretValue",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-12345678"
}
}
}
]
}
```
**Example Richiedi che le richieste provengano da un VPC**
I seguenti comandi della policy consentono di creare e gestire i segreti solo quando la loro provenienza è *`vpc-12345678`*. Inoltre, la policy consente le operazioni che utilizzano il valore del segreto crittografato solo quando le richieste provengono da `vpc-2b2b2b2b`. Puoi usare una policy come questa se esegui un'applicazione in un VPC, ma utilizzi un secondo VPC separato per le funzioni di gestione.
****
```
{
"Id": "example-policy-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAdministrativeActionsfromONLYvpc-12345678",
"Effect": "Deny",
"Principal": "*",
"Action": [
"secretsmanager:Create*",
"secretsmanager:Put*",
"secretsmanager:Update*",
"secretsmanager:Delete*",
"secretsmanager:Restore*",
"secretsmanager:RotateSecret",
"secretsmanager:CancelRotate*",
"secretsmanager:TagResource",
"secretsmanager:UntagResource"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:sourceVpc": "vpc-12345678"
}
}
},
{
"Sid": "AllowSecretValueAccessfromONLYvpc-2b2b2b2b",
"Effect": "Deny",
"Principal": "*",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:sourceVpc": "vpc-2b2b2b2b"
}
}
}
]
}
```
### Esempio: Principale del servizio
Se la policy relativa alle risorse allegata al tuo segreto include un [AWS service principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services), ti consigliamo di utilizzare le chiavi di condizione SourceAccount globali [aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) [e aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount). I valori ARN e account sono inclusi nel contesto di autorizzazione solo quando una richiesta arriva a Secrets Manager da un altro servizio AWS . Questa combinazione di condizioni evita un potenziale [confused deputy scenario](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) (scenario "deputy confused").
Se una risorsa ARN include caratteri non consentiti in una policy di risorse, non potrai utilizzare l'ARN di tale risorsa nel valore della chiave di condizione `aws:SourceArn`. Devi invece utilizzare la chiave di condizione `aws:SourceAccount`. Per ulteriori informazioni, consulta [Requisiti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-names).
I service principal non vengono in genere utilizzati come responsabili in una policy allegata a un segreto, ma alcuni AWS servizi lo richiedono. Per informazioni sulle policy delle risorse che un servizio richiede di allegare a un segreto, consultare la documentazione del servizio.
**Example Consenti a un servizio di accedere a un segreto utilizzando un service principal**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"s3.amazonaws.com"
]
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:sourceArn": "arn:aws:s3::123456789012:*"
},
"StringEquals": {
"aws:sourceAccount": "123456789012"
}
}
}
]
}
```
# Controlla l'accesso ai segreti utilizzando il controllo degli accessi basato sugli attributi (ABAC)
Il controllo degli accessi basato sugli attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi o alle caratteristiche dell'utente, dei dati o dell'ambiente, ad esempio il reparto, l'unità aziendale o altri fattori che potrebbero influire sull'esito dell'autorizzazione. *In AWS, questi attributi sono chiamati tag.*
Usare i tag per controllare le autorizzazioni è utile in ambienti soggetti a una rapida crescita e aiuta in situazioni in cui la gestione delle policy diventa complicata. Le regole ABAC vengono valutate dinamicamente in fase di esecuzione, il che significa che l'accesso degli utenti alle applicazioni e ai dati e il tipo di operazioni consentite cambiano automaticamente in base ai fattori contestuali della politica. Ad esempio, se un utente cambia reparto, l'accesso viene regolato automaticamente senza la necessità di aggiornare le autorizzazioni o richiedere nuovi ruoli. Per ulteriori informazioni, consulta: A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS, [Definisci le autorizzazioni per accedere ai segreti in base](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) ai tag. e [scalate le vostre esigenze di autorizzazione per Secrets Manager utilizzando ABAC con IAM Identity Center](https://aws.amazon.com/blogs/security/scale-your-authorization-needs-for-secrets-manager-using-abac-with-iam-identity-center/).
## Esempio: consenti a un'identità di accedere ai segreti con tag specifici
La seguente politica consente `DescribeSecret` l'accesso ai segreti con un tag con la chiave *ServerName* e il valore*ServerABC*. Se alleghi questa politica a un'identità, l'identità è autorizzata a utilizzare tutti i segreti con quel tag nell'account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "secretsmanager:DescribeSecret",
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/ServerName": "ServerABC"
}
}
}
}
```
------
## Esempio: consenti l'accesso solo alle identità con tag che corrispondono ai tag dei segreti
La seguente politica consente a tutte le identità dell'account di `GetSecretValue` accedere a tutti i segreti dell'account in cui il *`AccessProject`* tag di identità ha lo stesso valore del tag del segreto. *`AccessProject`*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Condition": {
"StringEquals": {
"aws:ResourceTag/AccessProject": "${ aws:PrincipalTag/AccessProject }"
}
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*"
}
}
```
------
# AWS politica gestita per Gestione dei segreti AWS
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: SecretsManagerReadWrite
Questa policy fornisce read/write l'accesso Gestione dei segreti AWS, inclusa l'autorizzazione a descrivere, le risorse Amazon RDS, Amazon Redshift e Amazon DocumentDB e l'autorizzazione all' AWS KMS uso per crittografare e decrittografare i segreti. Questa policy consente inoltre di creare set di AWS CloudFormation modifiche, ottenere modelli di rotazione da un bucket Amazon S3 gestito da AWS, elencare AWS Lambda funzioni e descrivere Amazon EC2. VPCs Queste autorizzazioni sono richieste dalla console per impostare la rotazione con le funzioni di rotazione esistenti.
Per creare nuove funzioni di rotazione, devi inoltre disporre dell'autorizzazione a creare AWS CloudFormation stack e ruoli di esecuzione. AWS Lambda È possibile assegnare la politica gestita di [IAMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IAMFullAccess.html). Per informazioni, consulta [Autorizzazioni per la rotazione](rotating-secrets-required-permissions-function.md).
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `secretsmanager`: consente ai principali di eseguire tutte le azioni di Secrets Manager.
+ `cloudformation`— Consente ai principali di creare CloudFormation pile. Ciò è necessario affinché i principali che utilizzano la console per attivare la rotazione possano creare funzioni CloudFormation di rotazione Lambda tramite pile. Per ulteriori informazioni, consulta [Come utilizza Secrets Manager AWS CloudFormation](cloudformation.md#how-asm-uses-cfn).
+ `ec2`— Consente ai responsabili di descrivere Amazon VPCs EC2. Ciò è necessario affinché i principali che utilizzano la console possano creare funzioni di rotazione nello stesso VPC del database delle credenziali che stanno archiviando in un segreto.
+ `kms`— Consente ai responsabili di utilizzare le AWS KMS chiavi per le operazioni crittografiche. Ciò è necessario per consentire a Secrets Manager di crittografare e decrittografare i segreti. Per ulteriori informazioni, consulta [Crittografia e decrittografia segrete in Gestione dei segreti AWS](security-encryption.md).
+ `lambda`: consente ai principali di elencare le funzioni di rotazione Lambda. Ciò è necessario affinché i principali che utilizzano la console possano scegliere le funzioni di rotazione esistenti.
+ `rds`: consente ai principali di descrivere i cluster e le istanze in Amazon RDS. Ciò è necessario affinché i principali che utilizzano la console possano scegliere cluster o istanze Amazon RDS.
+ `redshift`: consente ai principali di descrivere i cluster in Amazon Redshift. Ciò è necessario affinché i principali che utilizzano la console possano scegliere cluster Amazon Redshift.
+ `redshift-serverless`— Consente ai responsabili di descrivere i namespace in Amazon Redshift Serverless. Ciò è necessario affinché i responsabili che utilizzano la console possano scegliere i namespace Serverless di Amazon Redshift.
+ `docdb-elastic`: consente ai principali di descrivere cluster elastici in Amazon DocumentDB. Ciò è necessario affinché i principali che utilizzano la console possano scegliere cluster elastici Amazon DocumentDB.
+ `tag`: consente ai principali di ottenere tutte le risorse dell'account che sono contrassegnate.
+ `serverlessrepo`— Consente ai principali di creare set di modifiche. CloudFormation Ciò è necessario affinché i principali che utilizzano la console possano creare funzioni di rotazione Lambda. Per ulteriori informazioni, consulta [Come utilizza Secrets Manager AWS CloudFormation](cloudformation.md#how-asm-uses-cfn).
+ `s3`— Consente ai principali di ottenere oggetti da un bucket Amazon S3 gestito da. AWS Questo bucket contiene Lambda [Modelli di funzione di rotazione](reference_available-rotation-templates.md). Questo permesso è necessario affinché i principali che utilizzano la console possano creare funzioni di rotazione Lambda basate sui modelli nel bucket. Per ulteriori informazioni, consulta [Come utilizza Secrets Manager AWS CloudFormation](cloudformation.md#how-asm-uses-cfn).
Per visualizzare la policy, consulta il documento sulla policy [SecretsManagerReadWrite JSON](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecretsManagerReadWrite.html#SecretsManagerReadWrite-json).
## AWS politica gestita: AWSSecrets ManagerClientReadOnlyAccess
Questa policy fornisce l'accesso in sola lettura ai Gestione dei segreti AWS segreti per le applicazioni client. Consente ai responsabili di recuperare valori segreti e descrivere metadati segreti, oltre alle AWS KMS autorizzazioni necessarie per decrittografare i segreti crittografati con chiavi gestite dal cliente.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `secretsmanager`— Consente ai mandanti di recuperare valori segreti e descrivere metadati segreti.
+ `kms`— Consente ai responsabili di decrittografare i segreti utilizzando le chiavi. AWS KMS Questa autorizzazione è limitata alle chiavi utilizzate da Secrets Manager in base a condizioni specifiche del servizio.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [AWSSecretsManagerClientReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecretsManagerClientReadOnlyAccess.html) nella *Guida di riferimento alle policy gestite da AWS *.
## Secrets Manager: aggiornamenti alle policy AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Secrets Manager.
| Modifica | Descrizione | Data | Versione |
| --- | --- | --- | --- |
| [AWSSecretsManagerClientReadOnlyAccess](#security-iam-awsmanpol-AWSSecretsManagerClientReadOnlyAccess)— Nuova politica gestita | Secrets Manager ha creato una nuova policy gestita per fornire l'accesso in sola lettura ai segreti per le applicazioni client. Questa politica consente di recuperare valori segreti e descrivere metadati segreti, con le autorizzazioni necessarie per decrittografare i segreti. AWS KMS | 5 novembre 2025 | v1 |
| [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite): aggiornamento di una policy esistente | Questa policy è stata aggiornata per consentire l'accesso descrittivo ad Amazon Redshift Serverless in modo che gli utenti della console possano scegliere uno spazio dei nomi Amazon Redshift Serverless quando creano un segreto Amazon Redshift. | 12 marzo 2024 | v5 |
| [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite): aggiornamento di una policy esistente | Questa policy è stata aggiornata per consentire l'accesso descrittivo ai cluster elastici di Amazon DocumentDB in modo che gli utenti della console possano scegliere un cluster elastico quando creano un segreto Amazon DocumentDB. | 12 settembre 2023 | v4 |
| [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite): aggiornamento di una policy esistente | Questa policy è stata aggiornata per consentire l'accesso descrittivo ad Amazon Redshift in modo che gli utenti della console possano scegliere un cluster Amazon Redshift quando creano un segreto Amazon Redshift. L'aggiornamento ha inoltre aggiunto nuove autorizzazioni per consentire l'accesso in lettura a un bucket Amazon S3 gestito AWS da che memorizza i modelli delle funzioni di rotazione Lambda. | 24 giugno 2020 | v3 |
| [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite): aggiornamento di una policy esistente | Questa policy è stata aggiornata per consentire l'accesso descrittivo ai cluster Amazon RDS in modo che gli utenti della console possano scegliere un cluster quando creano un segreto Amazon RDS. | 03 maggio 2018 | v2 |
| [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite): nuova policy | Secrets Manager ha creato una politica per concedere le autorizzazioni necessarie per utilizzare la console con tutti gli read/write accessi a Secrets Manager. | 04 Aprile 2018 | v1 |
# Determina chi ha i permessi per accedere ai tuoi segreti Gestione dei segreti AWS
Per impostazione predefinita, le identità IAM non dispongono dell'autorizzazione per accedere ai segreti. Quando si autorizza l'accesso a un segreto, Secret Manager valuta la policy basata su risorse collegata al segreto e tutte le policy basato sull'identità collegate all'utente IAM o al ruolo da cui proviene la richiesta. Per eseguire questa operazione, Secret Manager utilizza un processo simile a quello descritto in [Determinare se una richiesta è consentita o rifiutata](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow) nella *Guida per l'utente IAM*.
Quando a una richiesta si applicano varie policy, Gestione dei segreti utilizza una gerarchia per controllare le autorizzazioni:
1. Se una dichiarazione in qualsiasi politica con un esplicito `deny` corrisponde all'azione della richiesta e alla risorsa:
L'esplicito `deny` sovrascrive tutto il resto e blocca l'azione.
1. Se non c'è esplicito `deny`, ma una dichiarazione con un esplicito `allow` corrisponde all'azione della richiesta e alla risorsa:
L'esplicito `allow` concede l'azione nella richiesta di accesso alle risorse nell'istruzione.
Se l'identità e il segreto si trovano in due account diversi, deve esserci una `allow` politica delle risorse per il segreto e una politica allegata all'identità, altrimenti la richiesta verrà AWS respinta. Per ulteriori informazioni, consulta [Accesso multi-account](auth-and-access_examples_cross.md).
1. Se non vi è alcuna dichiarazione con un esplicito `allow` che corrisponde all'azione di richiesta e alla risorsa:
AWS nega la richiesta per impostazione predefinita, operazione denominata negazione *implicita*.
**Per visualizzare le policy basate sulle risorse per un segreto**
+ Esegui una delle seguenti operazioni:
+ Apri la console Secrets Manager all'indirizzo [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/). Nella pagina dei dettagli segreti per il segreto, nella sezione **Autorizzazioni risorse**, scegliere**Modifica autorizzazioni**.
+ Usa il comando AWS CLI per chiamare [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/get-resource-policy.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/get-resource-policy.html)o l' AWS SDK per chiamare [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html).
**Per determinare chi ha accesso tramite policy basate sull'identità**
+ Usa il simulatore di policy IAM. Vedere [Test delle policy &IAM; con il simulatore di policy &IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
# Accedi ai Gestione dei segreti AWS segreti da un altro account
Per consentire agli utenti in un account di accedere ai segreti in un altro account (*accesso tra account*), è necessario consentire l'accesso sia in una policy delle risorse che in una policy di identità. Ciò è diverso dalla concessione dell'accesso alle identità nello stesso account del segreto.
L'autorizzazione tra account è valida solo per le seguenti operazioni:
+ [CancelRotateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_CancelRotateSecret.html)
+ [DeleteResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DeleteResourcePolicy.html)
+ [DeleteSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DeleteSecret.html)
+ [DescribeSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_DescribeSecret.html)
+ [GetRandomPassword](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetRandomPassword.html)
+ [GetResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetResourcePolicy.html)
+ [GetSecretValue](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_GetSecretValue.html)
+ [ListSecretVersionIds](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ListSecretVersionIds.html)
+ [PutResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutResourcePolicy.html)
+ [PutSecretValue](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutSecretValue.html)
+ [RemoveRegionsFromReplication](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RemoveRegionsFromReplication.html)
+ [ReplicateSecretToRegions](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html)
+ [RestoreSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RestoreSecret.html)
+ [RotateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_RotateSecret.html)
+ [StopReplicationToReplica](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_StopReplicationToReplica.html)
+ [TagResource](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_TagResource.html)
+ [UntagResource](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UntagResource.html)
+ [UpdateSecret](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UpdateSecret.html)
+ [UpdateSecretVersionStage](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_UpdateSecretVersionStage.html)
+ [ValidateResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_ValidateResourcePolicy.html)
Puoi utilizzare il `BlockPublicPolicy` parametro insieme all'[PutResourcePolicy](https://docs.aws.amazon.com//secretsmanager/latest/apireference/API_PutResourcePolicy.html)azione per proteggere le tue risorse impedendo che l'accesso pubblico venga concesso tramite le politiche relative alle risorse direttamente collegate ai tuoi segreti. Puoi anche utilizzare [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-preview-access) per verificare l'accesso tra account.
È inoltre necessario consentire all'identità di utilizzare la chiave KMS con cui il segreto è crittografato. Questo perché non puoi usare Chiave gestita da AWS (`aws/secretsmanager`) per l'accesso tra account diversi. È invece necessario crittografare il segreto con una chiave KMS creata e quindi allegare ad esso un criterio chiave. È previsto un addebito per la creazione di chiavi KMS. Per modificare la chiave di crittografia per un segreto, vedere [Modifica un Gestione dei segreti AWS segreto](manage_update-secret.md).
**Importante**
Le politiche basate sulle risorse che concedono `secretsmanager:PutResourcePolicy` l'autorizzazione offrono ai responsabili, anche a quelli di altri account, la possibilità di modificare le politiche basate sulle risorse. Questa autorizzazione consente ai responsabili di aumentare le autorizzazioni esistenti, ad esempio ottenere l'accesso amministrativo completo ai segreti. Ti consigliamo di applicare il principio dell'accesso [minimo con privilegi alle tue politiche.](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) Per ulteriori informazioni, consulta [Policy basate sulle risorse](auth-and-access_resource-policies.md).
I criteri di esempio seguenti presuppongono di disporre di una chiave segreta e di crittografia in *Account1*, e un'identità in *Account2* che vuoi consentire ad accedere al valore segreto.
**Fase 1: Allegare una policy delle risorse al segreto in *Account1***
+ La seguente politica consente *ApplicationRole* a In *Account2* di accedere al secret in*Account1*. Per utilizzare questa policy, consultare [Policy basate sulle risorse](auth-and-access_resource-policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ApplicationRole"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*"
}
]
}
```
------
**Fase 2: Aggiungere un'istruzione alla policy della chiave per la chiave KMS in *Account1***
+ La seguente dichiarazione sulla politica chiave consente *ApplicationRole* di *Account2* utilizzare la chiave KMS *Account1* per decrittografare il segreto in. *Account1* Per utilizzare questa istruzione, aggiungerla al criterio chiave per la chiave KMS. Per ulteriori informazioni, vedere [Modifica di una policy delle chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html).
```
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::Account2:role/ApplicationRole"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
```
**Fase 3: Allegare una policy di identità all'identità in *Account2***
+ La seguente politica consente di *ApplicationRole* accedere *Account2* al secret in *Account1* e decrittografare il valore segreto utilizzando la chiave di crittografia anch'essa presente in. *Account1* Per utilizzare questa policy, vedere [Policy basate sull’identità](auth-and-access_iam-policies.md). Puoi trovare l'ARN per il tuo segreto nella console di Secrets Manager nella pagina dei dettagli segreti sotto **ARN del segreto**. In alternativa, è possibile chiamare [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/describe-secret.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/describe-secret.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-1:123456789012:secret:secretName-AbCdEf"
},
{
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/EncryptionKey"
}
]
}
```
------
# Accedi ai segreti da un ambiente locale
Puoi utilizzare AWS Identity and Access Management Roles Anywhere per ottenere credenziali di sicurezza temporanee in IAM per carichi di lavoro come server, contenitori e applicazioni eseguiti all'esterno di. AWS I tuoi carichi di lavoro possono utilizzare le stesse politiche IAM e gli stessi ruoli IAM che utilizzi con AWS le applicazioni per accedere alle risorse. AWS Con IAM Roles Anywhere, puoi utilizzare Secrets Manager per archiviare e gestire le credenziali alle quali possono accedere sia le risorse in AWS sia i dispositivi on-premise, come i server delle applicazioni. Per ulteriori informazioni, consulta la [Guida per l'utente di IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html).