本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS 的 受管政策 AWS Secrets Manager
<a name="reference_available-policies"></a>

 AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可，以便您可以開始將許可指派給使用者、群組和角色。

請記住， AWS 受管政策可能不會授予特定使用案例的最低權限許可，因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)，以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可，則更新會影響政策連接的所有委託人身分 （使用者、群組和角色）。 AWS 服務 當新的 啟動或新的 API 操作可用於現有服務時， AWS 最有可能更新 AWS 受管政策。

如需詳細資訊，請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## AWS 受管政策：SecretsManagerReadWrite
<a name="security-iam-awsmanpol-SecretsManagerReadWrite"></a>

此政策提供讀取/寫入存取權 AWS Secrets Manager，包括描述 Amazon RDS、Amazon Redshift 和 Amazon DocumentDB 資源的許可，以及使用 AWS KMS 加密和解密秘密的許可。此政策也提供建立 AWS CloudFormation 變更集、從由 管理的 Amazon S3 儲存貯體取得輪換範本 AWS、列出 AWS Lambda 函數和描述 Amazon EC2 VPCs許可。控制台需要這些許可，才能使用現有的輪換函數來設定輪換。

若要建立新的輪換函數，您還必須具有建立 AWS CloudFormation 堆疊和 AWS Lambda 執行角色的許可。您可以指派 [IAMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IAMFullAccess.html) 受管政策。請參閱 [輪換的許可](rotating-secrets-required-permissions-function.md)。

**許可詳細資訊**

此政策包含以下許可。




+ `secretsmanager` – 允許主體執行所有 Secrets Manager 動作。
+ `cloudformation` – 允許主體建立 CloudFormation 堆疊。這是必要的，以便使用主控台開啟輪換的主體可以透過 CloudFormation 堆疊建立 Lambda 輪換函數。如需詳細資訊，請參閱[Secrets Manager 如何使用 AWS CloudFormation](cloudformation.md#how-asm-uses-cfn)。
+ `ec2` – 允許主體描述 Amazon EC2 VPC。此為必要項目，如此使用主控台的主體才可以在與存放在秘密中的憑證之資料庫相同的 VPC 中建立輪換函數。
+ `kms` – 允許主體使用 AWS KMS 金鑰進行密碼編譯操作。此為必要項目，如此 Secrets Manager 才可以加密和解密秘密。如需詳細資訊，請參閱[中的秘密加密和解密 AWS Secrets Manager](security-encryption.md)。
+ `lambda` – 允許主體列出 Lambda 輪換函數。此為必要項目，如此使用主控台的主體才可以選擇現有的輪換函數。
+ `rds` – 允許主體描述 Amazon RDS 中的叢集和執行個體。此為必要項目，如此使用主控台的主體才可以選擇 Amazon RDS 叢集或執行個體。
+ `redshift` – 允許主體描述 Amazon Redshift 中的叢集。此為必要項目，如此使用主控台的主體才可以選擇 Amazon Redshift 叢集。
+ `redshift-serverless` – 允許主體描述 Amazon Redshift Serverless 中的命名空間。這是必要的，以便使用主控台的主體可以選擇 Amazon Redshift Serverless 命名空間。
+ `docdb-elastic` – 允許主體描述 Amazon DocumentDB 中的彈性叢集。此為必要項目，如此使用主控台的主體才可以選擇 Amazon DocumentDB 彈性叢集。
+ `tag` – 允許主體取得帳戶中已標記的所有資源。
+ `serverlessrepo` – 允許主體建立 CloudFormation 變更集。此為必要項目，如此使用主控台的主體才可以建立 Lambda 輪換函數。如需詳細資訊，請參閱[Secrets Manager 如何使用 AWS CloudFormation](cloudformation.md#how-asm-uses-cfn)。
+ `s3` – 允許主體從由 管理的 Amazon S3 儲存貯體取得物件 AWS。此儲存貯體包含 Lambda [輪換函數範本](reference_available-rotation-templates.md)。此為必要許可，如此使用主控台的主體才可以根據儲存貯體中的範本建立 Lambda 輪換函數。如需詳細資訊，請參閱[Secrets Manager 如何使用 AWS CloudFormation](cloudformation.md#how-asm-uses-cfn)。

若要檢視政策，請參閱 [SecretsManagerReadWrite JSON 政策文件](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecretsManagerReadWrite.html#SecretsManagerReadWrite-json)。

## AWS 受管政策：AWSSecretsManagerClientReadOnlyAccess
<a name="security-iam-awsmanpol-AWSSecretsManagerClientReadOnlyAccess"></a>

此政策提供用戶端應用程式 AWS Secrets Manager 秘密的唯讀存取權。它允許主體擷取秘密值並描述秘密中繼資料，以及解密使用客戶受管金鑰加密的秘密所需的 AWS KMS 許可。

**許可詳細資訊**

此政策包含以下許可。
+ `secretsmanager` – 允許主體擷取秘密值並描述秘密中繼資料。
+ `kms` – 允許主體使用 AWS KMS 金鑰解密秘密。此許可的範圍僅限於 Secrets Manager 透過服務特定條件使用的金鑰。

若要檢視政策的詳細資訊，包括最新版本的 JSON 政策文件，請參閱《 *AWS 受管政策參考指南*》中的 [AWSSecretsManagerClientReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecretsManagerClientReadOnlyAccess.html)。

## AWS 受管政策的 Secrets Manager 更新
<a name="security-iam-awsmanpol-updates"></a>

檢視 Secrets Manager AWS 受管政策更新的詳細資訊。


| 變更 | 描述 | Date | 版本 | 
| --- | --- | --- | --- | 
| [AWSSecretsManagerClientReadOnlyAccess](#security-iam-awsmanpol-AWSSecretsManagerClientReadOnlyAccess) – 新的受管政策 | Secrets Manager 建立了新的受管政策，以提供用戶端應用程式秘密的唯讀存取權。此政策允許擷取秘密值並描述秘密中繼資料，具有解密秘密的必要 AWS KMS 許可。 | 2025 年 11 月 5 日 | v1 | 
| [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite) – 更新現有政策 | 此政策已更新為允許描述對 Amazon Redshift Serverless 的存取，以便主控台使用者可以在建立 Amazon Redshift 秘密時選擇 Amazon Redshift Serverless 命名空間。 | 2024 年 3 月 12 日 | v5 | 
| [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite) – 更新現有政策 | 此政策已更新，允許描述 Amazon DocumentDB 彈性叢集的存取權，如此主控台使用者才可以在建立 Amazon DocumentDB 秘密時選擇彈性叢集。 | 2023 年 9 月 12 日 | v4 | 
| [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite) – 更新現有政策 | 此政策已更新，允許描述 Amazon Redshift 的存取權，如此主控台使用者才可以在建立 Amazon Redshift 秘密時選擇 Amazon Redshift 叢集。更新也新增了新的許可，以允許讀取存取 管理的 Amazon S3 儲存貯體 AWS ，以存放 Lambda 輪換函數範本。 | 2020 年 6 月 24 日 | v3 | 
| [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite) – 更新現有政策 | 此政策已更新，允許描述 Amazon RDS 叢集的存取權，如此主控台使用者才可以在建立 Amazon RDS 秘密時選擇叢集。 | 2018 年 5 月 3 日 |   v2 | 
| [SecretsManagerReadWrite](#security-iam-awsmanpol-SecretsManagerReadWrite) – 新政策 | Secrets Manager 建立了一個政策來授予使用控制台所需的許可，這些許可具有 Secrets Manager 的所有讀取／寫入存取權。 | 2018 年 4 月 04 日 | v1 |