本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 有关机密的 IAM 策略示例 AWS Secrets Manager
<a name="iam-policy-examples-asm-secrets"></a>

在设置过程中，[您可以创建分配给它的 IAM 策略](setting-up-create-trust-rel.md#setting-up-create-trust-rel-policy) AWS Elemental MediaPackage。此策略 AWS Elemental MediaPackage 允许读取您存储在中的机密 AWS Secrets Manager。此策略的设置完全由您决定。该策略的范围可以从限制性最强（仅允许访问特定机密）到限制性最低（允许访问您使用此 AWS 账户创建的任何密钥）不等。作为最佳实践，我们建议您使用限制性最强的策略。但是，本部分中的示例将向您展示如何设置具有不同限制级别的策略。由于只 AWS Elemental MediaPackage 需要读取密钥的权限，因此本节中的所有示例仅显示读取您存储的值所需的操作。

**Topics**
+ [允许读取中的特定密钥 AWS Secrets Manager](#iam-policy-examples-asm-specific-secrets)
+ [允许对在特定区域中创建的所有密钥具有读取权限 AWS Secrets Manager](#iam-policy-examples-asm-secrets-in-a-region)
+ [允许对中所有资源的读取权限 AWS Secrets Manager](#iam-policy-examples-asm-secrets-all)

## 允许读取中的特定密钥 AWS Secrets Manager
<a name="iam-policy-examples-asm-specific-secrets"></a>

以下 IAM 策略允许对您在中创建的特定资源（密钥）进行读取访问 AWS Secrets Manager。

------
#### [ JSON ]

****  

```
{
              "Version":"2012-10-17",		 	 	 
              "Statement": [
                {
                  "Effect": "Allow",
                  "Action": [
                    "secretsmanager:GetResourcePolicy",
                    "secretsmanager:GetSecretValue",
                    "secretsmanager:DescribeSecret",
                    "secretsmanager:ListSecretVersionIds"
                  ],
                  "Resource": [
                    "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes128-1a2b3c",
                    "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes192-4D5e6F",
                    "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes256-7g8H9i"
                  ]
                }
              ]
            }
```

------

## 允许对在特定区域中创建的所有密钥具有读取权限 AWS Secrets Manager
<a name="iam-policy-examples-asm-secrets-in-a-region"></a>

以下 IAM 策略允许读取您在中的特定 AWS 区域中创建的所有密钥 AWS Secrets Manager。此策略适用于您已创建的资源以及您将来在指定区域中创建的所有资源。

------
#### [ JSON ]

****  

```
{
              "Version":"2012-10-17",		 	 	 
              "Statement": [
                {
                  "Effect": "Allow",
                  "Action": [
                    "secretsmanager:GetResourcePolicy",
                    "secretsmanager:GetSecretValue",
                    "secretsmanager:DescribeSecret",
                    "secretsmanager:ListSecretVersionIds"
                  ],
                  "Resource": [
                    "arn:aws:secretsmanager:us-west-2:111122223333:secret:*"
                  ]
                }
              ]
            }
```

------

## 允许对中所有资源的读取权限 AWS Secrets Manager
<a name="iam-policy-examples-asm-secrets-all"></a>

以下 IAM policy 允许对您在 AWS Secrets Manager中创建的所有资源进行读取访问。此策略适用于您已创建的资源以及您将来创建的所有资源。

------
#### [ JSON ]

****  

```
{
              "Version":"2012-10-17",		 	 	 
              "Statement": [
                {
                  "Effect": "Allow",
                  "Action": [
                    "secretsmanager:GetResourcePolicy",
                    "secretsmanager:GetSecretValue",
                    "secretsmanager:DescribeSecret",
                    "secretsmanager:ListSecretVersionIds"
                  ],
                  "Resource": ["*"]
                }
              ]
            }
```

------