本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 的托管策略 AWS Secrets Manager
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的客户管理型策略来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅AWS 《IAM 用户指南》中的托管策略。
AWS 托管策略: SecretsManagerReadWrite
本政策提供 read/write 访问权限 AWS Secrets Manager,包括描述亚马逊 RDS、Amazon Redshift 和 Amazon DocumentDB 资源的权限,以及 AWS KMS 用于加密和解密密密钥的权限。该策略还允许创建 AWS CloudFormation 变更集、从由管理的 Amazon S3 存储桶获取轮换模板 AWS、列出 AWS Lambda 函数和描述 Amazon EC2 VPCs。控制台需要这些权限才能使用现有的轮换函数设置轮换。
要创建新的轮换函数,您还必须拥有创建 AWS CloudFormation 堆栈和 AWS Lambda 执行角色的权限。您可以分配IAMFull访问管理策略。请参阅轮换权限。
权限详细信息
该策略包含以下权限。
-
secretsmanager– 允许主体执行所有 Secrets Manager 操作。 -
cloudformation— 允许委托人创建 CloudFormation 堆栈。这是必需的,以便使用控制台开启轮换功能的委托人可以通过堆栈创建 Lambda 轮换函数 CloudFormation 。有关更多信息,请参阅 Secrets Manager 如何使用 AWS CloudFormation。 -
ec2— 允许校长描述亚马逊 EC2 VPCs。这是必需的条件,这样使用控制台的主体才能在与其存储在密钥中的凭证数据库相同的 VPC 中创建轮换函数。 -
kms— 允许委托人使用 AWS KMS 密钥进行加密操作。这是必需的条件,这样 Secrets Manager 才能加密和解密密钥。有关更多信息,请参阅 中的秘密加密和解密 AWS Secrets Manager。 -
lambda– 允许主体列出 Lambda 轮换函数。这是必需的条件,以便使用控制台的主体可以选择现有的轮换函数。 -
rds– 允许主体描述 Amazon RDS 中的集群和实例。这是必需的条件,以便使用控制台的主体可以选择 Amazon RDS 集群或实例。 -
redshift– 允许主体描述 Amazon Redshift 中的集群。这是必需的条件,以便使用控制台的主体可以选择 Amazon Redshift 集群。 -
redshift-serverless– 允许主体描述 Amazon Redshift Serverless 中的命名空间。这是必需的,以便使用控制台的主体可以选择 Amazon Redshift Serverless 命名空间。 -
docdb-elastic– 允许主体描述 Amazon DocumentDB 中的弹性集群。这是必需的条件,以便使用控制台的主体可以选择 Amazon DocumentDB 弹性集群。 -
tag– 允许主体获取账户中所有已标记的资源。 -
serverlessrepo— 允许委托人创建 CloudFormation 更改集。这是必需的条件,以便使用控制台的主体可以创建 Lambda 轮换函数。有关更多信息,请参阅 Secrets Manager 如何使用 AWS CloudFormation。 -
s3— 允许委托人从由 AWS管理的 Amazon S3 存储桶中获取对象。此存储桶包含 Lambda 轮换函数模板。此权限是必需的,这样使用控制台的主体才能根据存储桶中的模板创建 Lambda 轮换函数。有关更多信息,请参阅 Secrets Manager 如何使用 AWS CloudFormation。
要查看该政策,请参阅 SecretsManagerReadWrite JSON 策略文档。
AWS 托管策略: AWSSecretsManagerClientReadOnlyAccess
此策略为客户端应用程序提供对 AWS Secrets Manager 密钥的只读访问权限。它允许委托人检索机密值和描述机密元数据,以及解密使用客户管理的密钥加密的机密所需的 AWS KMS 权限。
权限详细信息
该策略包含以下权限。
-
secretsmanager— 允许委托人检索机密值并描述机密元数据。 -
kms— 允许委托人使用密钥解密机密。 AWS KMS 此权限的范围仅限于 Secrets Manager 在特定服务条件下使用的密钥。
要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS 托管式策略参考指南》中的 AWSSecretsManagerClientReadOnlyAccess。
Secrets Manager 对 AWS 托管策略的更新
查看有关 Secrets Manager AWS 托管策略更新的详细信息。
| 更改 | 描述 | 日期 | 版本 |
|---|---|---|---|
|
Secrets Manager 创建了一个新的托管策略,为客户端应用程序提供对密钥的只读访问权限。此策略允许检索机密值和描述机密元数据,并具有解密密钥所需的 AWS KMS 权限。 |
2025 年 11 月 5 日 | v1 |
|
|
SecretsManagerReadWrite – 对现有策略的更新 |
此策略已更新,允许描述访问 Amazon Redshift Serverless 的权限,以便控制台用户可在创建 Amazon Redshift 密钥时选择 Amazon Redshift Serverless 命名空间。 |
2024 年 3 月 12 日 | v5 |
|
SecretsManagerReadWrite – 对现有策略的更新 |
此策略已更新,允许描述访问 Amazon DocumentDB 弹性集群的权限,以便控制台用户可在创建 Amazon DocumentDB 密钥时选择弹性集群。 |
2023 年 9 月 12 日 | v4 |
|
SecretsManagerReadWrite – 对现有策略的更新 |
此策略已更新,允许描述访问 Amazon Redshift 的权限,以便控制台用户可在创建 Amazon Redshift 密钥时选择 Amazon Redshift 集群。此更新还增加了新的权限,允许对存储 Lambda 轮换函数模板 AWS 的 Amazon S3 存储桶进行读取访问。 |
2020 年 6 月 24 日 | v3 |
|
SecretsManagerReadWrite – 对现有策略的更新 |
此策略已更新,允许描述访问 Amazon RDS 集群的权限,以便控制台用户可在创建 Amazon RDS 密钥时选择集群。 |
2018 年 5 月 3 日 | v2 |
|
Secrets Manager 创建了一个策略,用于授予使用控制台所需的权限,并拥有对 Secrets Manager 的所有 read/write 访问权限。 |
2018 年 04 月 4 日 | v1 |
