View a markdown version of this page

AWS的托管策略AWS Secrets Manager - AWS Secrets Manager

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS的托管策略AWS Secrets Manager

AWS托管策略是由创建和管理的独立策略AWS。AWS托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住,AWS托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有AWS客户使用。我们建议通过定义特定于使用案例的客户管理型策略来进一步减少权限。

您无法更改AWS托管策略中定义的权限。如果AWS更新AWS托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。AWS最有可能在启动新的 API 或现有服务可以使用新AWS 服务的 API 操作时更新AWS托管策略。

有关更多信息,请参阅《IAM 用户指南》中的 AWS托管式策略

AWS托管策略: SecretsManagerReadWrite

本政策提供 read/write 访问权限AWS Secrets Manager,包括描述亚马逊 RDS、Amazon Redshift 和 Amazon DocumentDB 资源的权限,以及AWS KMS用于加密和解密密密钥的权限。该策略还允许创建AWS CloudFormation更改集、从由管理的 Amazon S3 存储桶获取轮换模板AWS、列出AWS Lambda函数以及描述 Amazon EC2 VPC。控制台需要这些权限才能使用现有的轮换函数设置轮换。

要创建新的轮换函数,您还必须拥有创建AWS CloudFormation堆栈和AWS Lambda执行角色的权限。您可以分配IAMFullAccess托管策略。请参阅轮换权限

权限详细信息

该策略包含以下权限。

  • secretsmanager – 允许主体执行所有 Secrets Manager 操作。

  • cloudformation— 允许委托人创建CloudFormation堆栈。这是必需的,以便使用控制台开启轮换功能的委托人可以通过堆栈创建 Lambda 轮换函数CloudFormation。有关更多信息,请参阅 Secrets Manager 的使用方式 AWS CloudFormation

  • ec2 – 允许主体描述 Amazon EC2 VPC。这是必需的条件,这样使用控制台的主体才能在与其存储在密钥中的凭证数据库相同的 VPC 中创建轮换函数。

  • kms— 允许委托人使用AWS KMS密钥进行加密操作。这是必需的条件,这样 Secrets Manager 才能加密和解密密钥。有关更多信息,请参阅 中的秘密加密和解密 AWS Secrets Manager

  • lambda – 允许主体列出 Lambda 轮换函数。这是必需的条件,以便使用控制台的主体可以选择现有的轮换函数。

  • rds – 允许主体描述 Amazon RDS 中的集群和实例。这是必需的条件,以便使用控制台的主体可以选择 Amazon RDS 集群或实例。

  • redshift – 允许主体描述 Amazon Redshift 中的集群。这是必需的条件,以便使用控制台的主体可以选择 Amazon Redshift 集群。

  • redshift-serverless – 允许主体描述 Amazon Redshift Serverless 中的命名空间。这是必需的,以便使用控制台的主体可以选择 Amazon Redshift Serverless 命名空间。

  • docdb-elastic – 允许主体描述 Amazon DocumentDB 中的弹性集群。这是必需的条件,以便使用控制台的主体可以选择 Amazon DocumentDB 弹性集群。

  • tag – 允许主体获取账户中所有已标记的资源。

  • serverlessrepo— 允许委托人创建CloudFormation更改集。这是必需的条件,以便使用控制台的主体可以创建 Lambda 轮换函数。有关更多信息,请参阅 Secrets Manager 的使用方式 AWS CloudFormation

  • s3— 允许委托人从由AWS管理的 Amazon S3 存储桶中获取对象。此存储桶包含 Lambda 轮换函数模板。此权限是必需的,这样使用控制台的主体才能根据存储桶中的模板创建 Lambda 轮换函数。有关更多信息,请参阅 Secrets Manager 的使用方式 AWS CloudFormation

要查看该政策,请参阅 SecretsManagerReadWrite JSON 策略文档

AWS托管策略: AWSSecretsManagerClientReadOnlyAccess

此策略为客户端应用程序提供对AWS Secrets Manager密钥的只读访问权限。它允许委托人单独或批量检索机密值、列出机密和描述机密元数据,以及解密使用客户管理的密钥加密的机密所需的AWS KMS权限。

权限详细信息

该策略包含以下权限。

  • secretsmanager— 允许委托人单独或批量检索机密值、列出密钥和描述机密元数据。

  • kms— 允许委托人使用密钥解密机密。AWS KMS此权限的范围仅限于 Secrets Manager 在特定服务条件下使用的密钥。

要查看有关策略(包括 JSON 策略文档的最新版本)的更多信息,请参阅《AWS托管式策略参考指南》中的 AWSSecretsManagerClientReadOnlyAccess

Secrets Manager 更新至AWS托管策略

查看有关 Secrets Manager AWS托管策略更新的详细信息。

更改 描述 日期 版本

AWSSecretsManagerClientReadOnlyAccess:对现有策略的更新

此策略已更新,增加了ListSecrets权限BatchGetSecretValue,允许客户端应用程序在一次调用中检索多个密钥。

2026年6月2日

v4

AWSSecretsManagerClientReadOnlyAccess:新托管策略

Secrets Manager 创建了一个新的托管策略,为客户端应用程序提供对密钥的只读访问权限。此策略允许检索机密值和描述机密元数据,并具有解密密钥所需的AWS KMS权限。

2025 年 11 月 5 日

v1

SecretsManagerReadWrite:对现有策略的更新

此策略已更新,允许描述访问 Amazon Redshift Serverless 的权限,以便控制台用户可在创建 Amazon Redshift 密钥时选择 Amazon Redshift Serverless 命名空间。

2024 年 3 月 12 日

v5

SecretsManagerReadWrite:对现有策略的更新

此策略已更新,允许描述访问 Amazon DocumentDB 弹性集群的权限,以便控制台用户可在创建 Amazon DocumentDB 密钥时选择弹性集群。

2023 年 9 月 12 日

v4

SecretsManagerReadWrite:对现有策略的更新

此策略已更新,允许描述访问 Amazon Redshift 的权限,以便控制台用户可在创建 Amazon Redshift 密钥时选择 Amazon Redshift 集群。此更新还增加了新的权限,允许对存储 Lambda 轮换函数模板AWS的 Amazon S3 存储桶进行读取。

2020 年 6 月 24 日

v3

SecretsManagerReadWrite:对现有策略的更新

此策略已更新,允许描述访问 Amazon RDS 集群的权限,以便控制台用户可在创建 Amazon RDS 密钥时选择集群。

2018 年 5 月 3 日

v2

SecretsManagerReadWrite:新策略

Secrets Manager 创建了一个策略,用于授予使用控制台所需的权限,并拥有对 Secrets Manager 的所有 read/write 访问权限。

2018 年 04 月 4 日

v1