本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 的身份验证和访问控制 AWS Secrets Manager
Secrets Manager 用[AWS Identity and Access Management (IAM) ](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)来保护密钥的访问权限。IAM 提供了身份验证和访问控制。*身份验证*确认个人请求的身份。Secrets Manager 使用密码、访问密钥登录过程和多重身份验证(MFA) 令牌来验证用户身份。请参阅[登录 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html)。*访问控制*确保只有获得批准的个人才能对密钥等 AWS 资源执行操作。Secrets Manager 使用策略来定义谁有权访问哪些资源,以及身份可以对这些资源执行哪些操作。参见 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
**Topics**
+ [的权限参考 AWS Secrets Manager](#reference_iam-permissions)
+ [Secrets Manager 管理员权限](#auth-and-access_admin)
+ [访问密钥的权限](#auth-and-access_secrets)
+ [Lambda 轮换函数的权限](#auth-and-access_rotate)
+ [加密密钥权限](#auth-and-access_encrypt)
+ [复制权限](#auth-and-access_replication)
+ [Identity-based 政策](auth-and-access_iam-policies.md)
+ [Resource-based 政策](auth-and-access_resource-policies.md)
+ [使用基于属性的访问权限控制(ABAC)控制对密钥的访问](auth-and-access-abac.md)
+ [AWS 的托管策略 AWS Secrets Manager](reference_available-policies.md)
+ [确定谁有权访问你的 AWS Secrets Manager 秘密](determine-acccess_examine-iam-policies.md)
+ [从其他账户访问 AWS Secrets Manager 密钥](auth-and-access_examples_cross.md)
+ [从本地环境访问密钥](auth-and-access-on-prem.md)
## 的权限参考 AWS Secrets Manager
Secrets Manager 的权限参考可在*服务授权参考*中的 [Actions, resources, and condition keys for AWS Secrets Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecretsmanager.html) 中找到。
## Secrets Manager 管理员权限
如果要授予 Secrets Manager 管理员权限,请根据[添加和删除 IAM 身份权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)和下列策略进行操作:
+ [SecretsManagerReadWrite](reference_available-policies.md#security-iam-awsmanpol-SecretsManagerReadWrite)
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
我们建议您不要向最终用户授予管理员权限。尽管这样用户可以创建和管理密钥,但启用轮换所需的权限 (IAMFullAccess) 会授予不适合最终用户的重要权限。
## 访问密钥的权限
通过采用 IAM 权限策略,您可以控制哪些用户或服务有权访问您的密钥。*权限策略*描述了哪些人可以对哪些资源执行哪些操作。你可以:
+ [Identity-based 政策](auth-and-access_iam-policies.md)
+ [Resource-based 政策](auth-and-access_resource-policies.md)
## Lambda 轮换函数的权限
Secrets Manager 使用 AWS Lambda 函数来[轮换密钥](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)。Lambda 函数必须具有对密钥以及密钥包含凭据的数据库或服务的访问权限。请参阅[轮换权限](rotating-secrets-required-permissions-function.md)。
## 加密密钥权限
Secrets Manager 使用 AWS Key Management Service (AWS KMS) 密钥[对密钥进行加密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)。 AWS 托管式密钥 `aws/secretsmanager`自动具有正确的权限。如果您使用不同的 KMS 密钥,Secrets Manager 需要对该密钥的权限。请参阅[KMS 密钥的权限](security-encryption.md#security-encryption-authz)。
## 复制权限
通过使用 IAM 权限策略,您可以控制哪些用户或服务可以将您的密钥复制到其他区域。请参阅[防止 AWS Secrets Manager 复制](replicate-secrets-permissions.md)。