¿Cómo puedo aplicar una política basada en recursos a un secreto de AWS Secrets Manager?

3 minutos de lectura

¿Cómo puedo controlar el acceso a los secretos de AWS Secrets Manager mediante políticas basadas en recursos?

Descripción breve

Con las políticas basadas en recursos, puedes especificar el acceso del usuario a un secreto y qué acciones puede realizar de AWS Identity and Access Management (IAM).

Nota: Un secreto se define como un recurso con Secrets Manager.

Los casos de uso más comunes de las políticas basadas en recursos de Secrets Manager son:

Compartir un secreto entre cuentas de AWS.
Aplicar permisos, como añadir una denegación explícita al secreto.

En este ejemplo de política basada en recursos, el elemento de IAM Efecto especifica si la declaración resulta en un permiso o en una denegación explícita. El elemento de IAM Acción define las acciones que se realizan con el secreto. El elemento IAM Resource es el secreto al que se adjunta la política. El elemento de IAM Entidad principal especifica el usuario con acceso para realizar acciones con el secreto.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:*",
      "Principal": {"AWS": "arn:aws:iam::123456789999:user/Mary"},
      "Resource": "*"
    }
  ]
}

Resolución

Siga estas instrucciones para aplicar una política basada en recursos en Secrets Manager:

Nota: Si recibe errores al ejecutar comandos de la interfaz de la línea de comandos de AWS (AWS CLI), asegúrese de utilizar la versión más reciente de AWS CLI.

Siga las instrucciones para crear un secreto. Tenga en cuenta el ARN del secreto.
Copie y pegue esta política en su editor de texto favorito y, a continuación, guárdela como un archivo JSON, por ejemplo, my_explicit_deny_policy.json.

{ "Version": "2012-10-17",
"Statement": [
    {
      "Effect": "Deny",
      "Action": "secretsmanager:GetSecretValue",
      "Principal": {"AWS": "arn:aws:iam::123456789999:user/Mary"},
      "Resource": "*"
    }
  ]
}

Utilice el comando de AWS CLI put-resource-policy para establecer una política de recursos para el secreto a fin de impedir explícitamente que la usuaria de IAM Mary recupere el valor secreto.

aws secretsmanager put-resource-policy --secret-id My_Resource_Secret --resource-policy file:// My_explicit_deny_Policy.json

Recibe un resultado similar al siguiente:

{
"ARN": "arn:aws:secretsmanager:<your region>:123456789999:secret:My_Resource_Secret",
"Name": "My_Resource_Secret"
}

Nota: El permiso de descifrado de AWS Key Management Service (AWS KMS) solo es necesario utiliza claves de AWS KMS para cifrar su secreto. Un secreto no puede ser recuperado por una entidad principal de IAM en una cuenta de terceros si el secreto está cifrado por la clave predeterminada de AWS KMS.

Para obtener más información, consulte Utilizar políticas basadas en recursos para Secrets Manager.

Temas

Seguridad, identidad y cumplimiento

Etiquetas

AWS Secrets Manager

Idioma

Español

Vídeos relacionados

Vea vídeo de Grant para obtener más información (1:38)

OFICIAL DE AWSActualizada hace 3 años

Contenido relevante

¿Cómo puedo usar políticas basadas en recursos con AWS Lambda para conceder permisos a los servicios de AWS?
OFICIAL DE AWSActualizada hace 3 años
¿Cómo comparto los secretos de AWS Secrets Manager entre cuentas de AWS?
OFICIAL DE AWSActualizada hace 9 meses
¿Cómo puedo rotar un secreto de AWS Secrets Manager para una conexión de base de datos que requiere SSL?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo resolver los problemas de acceso a un secreto cifrado de AWS Secrets Manager?
OFICIAL DE AWSActualizada hace 2 años