本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 防止 AWS Secrets Manager 複寫
<a name="replicate-secrets-permissions"></a>

由於秘密可以使用 [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html)或使用 建立時複寫[https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)，如果您想要防止使用者複寫秘密，我們建議您防止包含 `AddReplicaRegions` 參數的動作。您可以在許可政策中使用`Condition`陳述式，僅允許不新增複本區域的動作。如需您可以使用的條件陳述式，請參閱下列政策範例。

**Example 防止複寫許可**  
下列政策範例顯示如何允許未新增複本區域的所有動作。這可防止使用者透過 `ReplicateSecretToRegions`和 複寫秘密`CreateSecret`。    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:*",
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:AddReplicaRegions": "true"
        }
      }
    }
  ]
}
```

**Example 僅允許對特定區域的複寫許可**  
下列政策說明如何允許下列所有項目：  
+ 建立無需複寫的秘密
+ 僅在美國和加拿大使用複寫功能建立秘密至 區域
+ 僅在美國和加拿大將秘密複寫至 區域   
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:ReplicateSecretToRegions"
      ],
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringLike": {
          "secretsmanager:AddReplicaRegions": [
            "us-*",
            "ca-*"
          ]
        }
      }
    }
  ]
}
```