本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 判斷誰有權存取您的 AWS Secrets Manager 秘密 依預設,IAM 身分沒有存取秘密的許可。在授予秘密的存取權時,Secrets Manager 會評估與秘密相連的資源型政策,以及與 IAM 使用者或傳送請求的角色相連的所有身分型政策。為了這麼做,Secrets Manager 使用類似於 *IAM 使用者指南*中的[判斷是否允許或拒絕請求](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow)中所述的程序。 多個政策套用到請求時,Secrets Manager 會使用階層來控制許可: 1. 如果任何政策中具有明確 `deny` 的陳述式與請求動作和資源相符: 明確 `deny` 會覆寫其他所有內容並阻止該動作。 1. 如果沒有明確 `deny`,而是具有明確 `allow` 的陳述式與請求動作和資源相符: 明確 `allow` 會授予請求中的動作對陳述式中資源的存取權。 如果身分和秘密位於兩個不同的帳戶中,則秘密的資源政策和連接到身分的政策`allow`都必須有 ,否則 AWS 會拒絕請求。如需詳細資訊,請參閱[跨帳戶存取權](auth-and-access_examples_cross.md)。 1. 如果沒有具有明確 `allow` 的陳述式與請求動作和資源相符: AWS 根據預設拒絕請求,這稱為*隱含*拒絕。 **若要檢視秘密的資源型政策** + 執行以下任意一項: + 前往以下位置開啟 Secrets Manager 主控台:[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)。進入秘密的秘密詳細資訊頁面,在 **Resource permissions** (資源使用權限) 區段選擇 **Edit permissions** (編輯許可)。 + 使用 AWS CLI 呼叫 [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/get-resource-policy.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/get-resource-policy.html)或 AWS SDK 呼叫 [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html)。 **透過身分型政策判斷誰擁有存取權** + 使用 IAM 政策模擬器。請參閱[使用 IAM 政策模擬器測試 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)