AWS Secrets Manager 用の AWS マネージドポリシー
AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースでアクセス許可を提供できるように設計されているため、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できます。
AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。これは、すべての AWS ユーザーが使用できるようになるのを避けるためです。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。
AWS マネージドポリシーで定義されたアクセス許可は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。
詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。
AWS マネージドポリシー: SecretsManagerReadWrite
このポリシーは、AWS Secrets Manager への読み取り/書き込みアクセスを提供します。これには、Amazon RDS、Amazon Redshift、Amazon DocumentDB リソースを記述するためのアクセス許可と、シークレットの暗号化および復号に AWS KMS を使用するためのアクセス許可が含まれます。また、このポリシーでは、AWS CloudFormation 変更セットの作成、AWS が管理する Amazon S3 バケットからのローテーションテンプレートの取得、AWS Lambda 関数の一覧表示、Amazon EC2 VPC の記述を行うためのアクセス許可も提供します。これらのアクセス許可は、コンソールが既存のローテーション機能を使用してローテーションを設定するために必要です。
新しいローテーション関数を作成するには、AWS CloudFormation スタックと AWS Lambda 実行ロールを作成するためのアクセス許可も必要です。IAMFullAccess マネージドポリシーを割り当てることができます。ローテーションへのアクセス許可 を参照してください。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
secretsmanager– プリンシパルに Secrets Manager の全アクションの実行を許可します。 -
cloudformation– プリンシパルに CloudFormation スタックの作成を許可します。これは、コンソールを使用してローテーションをオンにするプリンシパルが、CloudFormation スタックを通じて Lambda ローテーション関数を作成できるようにするために必要です。詳しくは、「Secrets Manager が AWS CloudFormation を使用する方法」を参照してください。 -
ec2– プリンシパルに Amazon EC2 VPC の記述を許可します。これは、コンソールを使用するプリンシパルが、シークレットに保存している認証情報のデータベースと同じ VPC 内に、ローテーション関数を作成できるようにするために必要です。 -
kms– プリンシパルに暗号化オペレーションへの AWS KMS キーの使用を許可します。これは、Secrets Manager がシークレットを暗号化および復号できるようにするために必要です。詳しくは、「AWS Secrets Manager のシークレット暗号化と復号」を参照してください。 -
lambda– プリンシパルに Lambda ローテーション関数の一覧表示を許可します。これは、コンソールを使用するプリンシパルが、既存のローテーション関数を選択できるようにするために必要です。 -
rds– プリンシパルに Amazon RDS DB のクラスターとインスタンスの記述を許可します。これは、コンソールを使用するプリンシパルが Amazon RDS クラスターまたはインスタンスを選択できるようにするために必要です。 -
redshift– プリンシパルに Amazon Redshift でのクラスターの記述を許可します。これは、コンソールを使用するプリンシパルが Amazon Redshift クラスターを選択できるようにするために必要です。 -
redshift-serverless– プリンシパルが Amazon Redshift Serverless の名前空間を記述できるようにします。これは、コンソールを使用するプリンシパルが Amazon Redshift Serverless 名前空間を選択できるようにするために必要です。 -
docdb-elastic– プリンシパルに Amazon DocumentDB での Elastic クラスターの記述を許可します。これは、コンソールを使用するプリンシパルが、Amazon DocumentDB の Elastic クラスターを選択できるようにするために必要です。 -
tag– プリンシパルに、アカウント内のタグ付けされた全リソースの取得を許可します。 -
serverlessrepo– プリンシパルに CloudFormation 変更セットの作成を許可します。これは、コンソールを使用するプリンシパルが Lambda ローテーション関数を作成できるようにするために必要です。詳しくは、「Secrets Manager が AWS CloudFormation を使用する方法」を参照してください。 -
s3– プリンシパルに、AWS によって管理されている Amazon S3 バケットからのオブジェクトの取得を許可します。このバケットには Lambda ローテーション関数のテンプレート が含まれます。このアクセス許可は、コンソールを使用するプリンシパルがバケット内のテンプレートに基づいて、Lambda ローテーション関数を作成できるようにするために必要です。詳しくは、「Secrets Manager が AWS CloudFormation を使用する方法」を参照してください。
ポリシーを表示するには、SecretsManagerReadWrite の JSON ポリシーのドキュメントを参照してください。
Secrets Manager の AWS マネージドポリシーの更新
Secrets Manager の AWS マネージドポリシーの更新に関する詳細を表示します。
| 変更 | 説明 | 日付 | バージョン |
|---|---|---|---|
|
SecretsManagerReadWrite – 既存のポリシーへの更新 |
このポリシーは、 Amazon Redshift Serverless への記述アクセスを許可するように更新されました。これにより、コンソールユーザーは Amazon Redshift シークレットを作成するときに Amazon Redshift Serverless 名前空間を選択できるようになります。 |
2024 年 3 月 12 日 | v5 |
|
SecretsManagerReadWrite – 既存のポリシーへの更新 |
このポリシーは、Amazon DocumentDB の Elastic クラスターへの記述アクセスを許可するように更新されました。これにより、コンソールユーザーは Amazon DocumentDB シークレットを作成するときに Elastic クラスターを選択できます。 |
2023 年 9 月 12 日 | v4 |
|
SecretsManagerReadWrite – 既存のポリシーへの更新 |
このポリシーは、Amazon Redshift への記述アクセスを許可するように更新されました。これにより、コンソールユーザーは Amazon Redshift シークレットを作成するときに Amazon Redshift クラスターを選択できます。この更新では、Lambda ローテーション関数テンプレートを保存する、AWS によって管理される Amazon S3 バケットへの読み取りアクセスを許可する新しいアクセス許可も追加されました。 |
2020 年 6 月 24 日 | v3 |
|
SecretsManagerReadWrite – 既存のポリシーへの更新 |
このポリシーは、Amazon RDS クラスターへの記述アクセスを許可するように更新されました。これにより、コンソールユーザーは Amazon RDS シークレットを作成するときにクラスターを選択できます。 |
2018 年 5 月 3 日 | v2 |
|
SecretsManagerReadWrite – 新しいポリシー |
Secrets Manager は、Secrets Manager へのすべての読み取り/書き込みアクセスで、コンソールを使用するために必要なアクセス許可を付与するポリシーを作成しました。 |
2018 年 04 月 4 日 | v1 |
