翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# の認証とアクセスコントロール AWS Secrets Manager
<a name="auth-and-access"></a>

Secrets Manager は [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) を使用して、シークレットへのアクセスを保護します。IAM は認証とアクセスコントロールを提供します。*認証*は、リクエストを実行するアイデンティティを検証するものです。Secrets Manager は、パスワード、アクセスキー、および多要素認証 (MFA) トークンでのサインインプロセスを使用して、ユーザーのアイデンティティを検証します。[「 にサインイン AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html)する」を参照してください。*アクセスコントロール*は、シークレットなどの AWS リソースで、承認された個人のみがオペレーションを実行できるようにします。Secrets Manager は、ポリシーを使用して、リソースにアクセスできるユーザー、およびそのアイデンティティがそれらのリソースに対して実行できるアクションを定義します。[IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)を参照してください。

**Topics**
+ [のアクセス許可リファレンス AWS Secrets Manager](#reference_iam-permissions)
+ [Secrets Manager 管理者のアクセス許可](#auth-and-access_admin)
+ [シークレットへのアクセス許可](#auth-and-access_secrets)
+ [Lambda ローテーション関数のアクセス許可](#auth-and-access_rotate)
+ [暗号化キーのアクセス許可](#auth-and-access_encrypt)
+ [レプリケーション権限](#auth-and-access_replication)
+ [アイデンティティベースのポリシー](auth-and-access_iam-policies.md)
+ [リソースベースのポリシー](auth-and-access_resource-policies.md)
+ [属性ベースのアクセス制御 (ABAC) を使用してシークレットへのアクセスを制御する](auth-and-access-abac.md)
+ [AWS の マネージドポリシー AWS Secrets Manager](reference_available-policies.md)
+ [AWS Secrets Manager シークレットへのアクセス許可を持つユーザーを特定する](determine-acccess_examine-iam-policies.md)
+ [別のアカウントから AWS Secrets Manager シークレットにアクセスする](auth-and-access_examples_cross.md)
+ [オンプレミス環境からシークレットにアクセスする](auth-and-access-on-prem.md)

## のアクセス許可リファレンス AWS Secrets Manager
<a name="reference_iam-permissions"></a>

Secrets Manager のアクセス許可リファレンスは、*サービス認証リファレンス*の [AWS Secrets Managerのアクション、リソース、条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecretsmanager.html)で利用できます。

## Secrets Manager 管理者のアクセス許可
<a name="auth-and-access_admin"></a>

Secrets Manager 管理者のアクセス許可を付与するには、[[Adding and removing IAM identity permissions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)] (IAM アイデンティティのアクセス許可の追加および削除) をクリックし、次のポリシーをアタッチします。
+ [SecretsManagerReadWrite](reference_available-policies.md#security-iam-awsmanpol-SecretsManagerReadWrite)
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)

エンドユーザーには管理者のアクセス許可を付与しないことをお勧めします。これを付与すると、ユーザーはシークレットを作成および管理できますが、ローテーションを有効にするために必要なアクセス許可 (IAMFullAccess) により、エンドユーザーには適切ではない重要なアクセス許可が付与されます。

## シークレットへのアクセス許可
<a name="auth-and-access_secrets"></a>

IAM アクセス許可ポリシーを使用すると、シークレットにアクセスできるユーザーまたはサービスを制御できます。*アクセス許可のポリシー*は、誰がどのアクションをどのリソースで実行できるかを示します。以下の操作を実行できます。
+ [アイデンティティベースのポリシー](auth-and-access_iam-policies.md)
+ [リソースベースのポリシー](auth-and-access_resource-policies.md)

## Lambda ローテーション関数のアクセス許可
<a name="auth-and-access_rotate"></a>

Secrets Manager は AWS Lambda 関数を使用してシー[クレットをローテーションします](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)。Lambda 関数には、シークレットと、シークレットにその認証情報が含まれているデータベースまたはサービスへのアクセス許可が必要です。「[ローテーションへのアクセス許可](rotating-secrets-required-permissions-function.md)」を参照してください。

## 暗号化キーのアクセス許可
<a name="auth-and-access_encrypt"></a>

Secrets Manager は AWS Key Management Service (AWS KMS) キーを使用して[シークレットを暗号化します](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)。には正しいアクセス許可 AWS マネージドキー `aws/secretsmanager`が自動的に付与されます。別の KMS キーを使用する場合、Secrets Manager にはそのキーに対するアクセス許可が必要です。「[KMS キーのアクセス許可](security-encryption.md#security-encryption-authz)」を参照してください。

## レプリケーション権限
<a name="auth-and-access_replication"></a>

IAM アクセス許可ポリシーを使用すると、どのユーザーまたはサービスがシークレットを他のリージョンに複製できるかを制御できます。「[AWS Secrets Manager レプリケーションの防止](replicate-secrets-permissions.md)」を参照してください。