本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Elastic Beanstalk 存取秘密和參數所需的 IAM 許可
您必須將必要的許可授予您環境的 EC2 執行個體,才能擷取 和 AWS Systems Manager 參數存放區的秘密 AWS Secrets Manager 和參數。許可會透過 EC2 執行個體描述檔角色提供給 EC2 執行個體。 [管理 Elastic Beanstalk 執行個體描述檔](iam-instanceprofile.md)
以下各節列出您需要新增至 EC2 執行個體描述檔的特定許可,具體取決於您使用的服務。請遵循 *IAM 使用者指南*中[更新角色的許可政策](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-permissions.html)中提供的步驟來新增這些許可。
**ECS 受管 Docker 平台的 IAM 許可**
ECS 受管 Docker 平台需要對本主題中提供的其他 IAM 許可。如需 ECS 受管 Docker 平台環境支援 Elastic Beanstalk 環境變數與秘密整合之所有必要許可的詳細資訊,請參閱 [執行角色 ARN 格式](create_deploy_docker_v2config.md#create_deploy_docker_v2config_executionRoleArn_format)。
**Topics**
+ [Secrets Manager 所需的 IAM 許可](#AWSHowTo.secrets.IAM-permissions.secrets-manager)
+ [必要的 IAM 許可 Systems Manager 參數存放區](#AWSHowTo.secrets.IAM-permissions.ssm-paramter-store)
## Secrets Manager 所需的 IAM 許可
下列許可授予從 AWS Secrets Manager 存放區擷取加密秘密的存取權:
+ secretsmanager:GetSecretValue
+ kms:解密
AWS KMS key 只有當您的秘密使用客戶受管金鑰而非預設金鑰時,才需要解密 的許可。新增自訂金鑰 ARN 新增解密客戶受管金鑰的許可。
**Example 具有 Secrets Manager 和 KMS 金鑰許可的政策**
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"kms:Decrypt"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:my-secret",
"arn:aws:kms:us-east-1:111122223333:key/my-key"
]
}
]
}
```
## 必要的 IAM 許可 Systems Manager 參數存放區
下列許可授予從 AWS Systems Manager 參數存放區擷取加密參數的存取權:
+ ssm:GetParameter
+ kms:解密
只有使用客戶受管金鑰而非預設金鑰的`SecureString`參數類型 AWS KMS key 才需要解密 的許可。新增自訂金鑰 ARN 新增解密客戶受管金鑰的許可。未加密的一般參數類型 `String`和 `StringList`不需要 AWS KMS key。
**Example 具有 Systems Manager 和 AWS KMS 金鑰許可的政策**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"kms:Decrypt"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:parameter/my-parameter",
"arn:aws:kms:us-east-1:111122223333:key/my-key"
]
}
]
}
```