Determinação de quem tem permissões para seus segredos do AWS Secrets Manager - AWS Secrets Manager

Determinação de quem tem permissões para seus segredos do AWS Secrets Manager

Por padrão, as identidades do IAM não têm permissão para acessar segredos. Ao autorizar o acesso a um segredo, o Secrets Manager avalia a política baseada em recursos anexada ao segredo e todas as políticas baseadas em identidades anexadas ao usuário ou à função do IAM que está enviando a solicitação. Para fazer isso, o Secrets Manager usa um processo semelhante ao descrito em Determinar se uma solicitação é permitida ou negada no Manual do usuário do IAM.

Quando várias políticas se aplicarem a uma solicitação, o Secrets Manager usará uma hierarquia para controlar as permissões:

  1. Se uma declaração em qualquer política com uma deny explícita corresponder à ação de solicitação e ao recurso:

    A deny explícita substituirá todo o resto e bloqueará a ação.

  2. Se não houver qualquer deny explícita, mas uma declaração com uma allow explícita corresponder à ação de solicitação e ao recurso:

    A allow explícita concederá à ação de solicitação acesso aos recursos da declaração.

    Se a identidade e o segredo estiverem em duas contas diferentes, deverá haver uma allow na política de recursos para o segredo e na política anexada à identidade, caso contrário, a AWS negará a solicitação. Para obter mais informações, consulte Acesso entre contas.

  3. Se não houver qualquer declaração com uma allow explícita que corresponda à ação de solicitação e ao recurso:

    A AWS negará a solicitação por padrão, o que é denominado negação implícita.

Para visualizar a política baseada em recursos de um segredo
Para determinar quem tem acesso por meio de políticas baseadas em identidades