翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Secrets Manager レプリケーションの防止
<a name="replicate-secrets-permissions"></a>

シークレットは、[https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html) を使用した場合、または [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html) を使用して作成されたときにレプリケートできるため、ユーザーがシークレットをレプリケートできないようにする場合は、`AddReplicaRegions` パラメータを含むアクションを禁止することを推奨します。アクセス許可ポリシーで `Condition` ステートメントを使用して、レプリカリージョンを追加しないアクションのみを許可できます。使用できる条件ステートメントについては、次のポリシー例を参照してください。

**Example レプリケーション権限の防止する**  
次のポリシー例は、レプリカリージョンを追加しないすべてのアクションを許可する方法を示しています。これにより、ユーザーは `ReplicateSecretToRegions` と `CreateSecret` の両方を経由して、シークレットをレプリケートできなくなります。    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:*",
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:AddReplicaRegions": "true"
        }
      }
    }
  ]
}
```

**Example レプリケーション権限を特定のリージョンにのみ許可する**  
次のポリシーは、以下のすべてを許可する方法を示しています。  
+ シークレットをレプリケーションなしで作成する
+ 米国およびカナダリージョンのみにレプリケーションするシークレットを作成する
+ シークレットを米国およびカナダのリージョンにのみレプリケートする   
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:ReplicateSecretToRegions"
      ],
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringLike": {
          "secretsmanager:AddReplicaRegions": [
            "us-*",
            "ca-*"
          ]
        }
      }
    }
  ]
}
```