大佬教程收集整理的这篇文章主要介绍了AWS Secret Manager - 在仅设置特定委托人列表时授予每个人访问权限,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
我可以看到这里有一个 Secrets Manager 的策略评估规则。
https://docs.aws.amazon.com/secretsmanager/latest/userguide/determine-acccess_understanding-policy-evaluation.html
我有一个附加到机密管理器资源的策略,如下所示
{
"Version" : "2012-10-17","Statement" : [ {
"SID" : "minimumNeeded","Effect" : "Allow","Principal" : {
"AWS" : [ "arn:aws:sts::SLJFLSDKFJLSJDKF:assumed-role/xxx/USER1","arn:aws:sts::SLJFLSDKFJLSJDKF:assumed-role/xxx/USER2" ]
},"Action" : "secretsmanager:*","resource" : "*"
}]
}
当其他用户尝试从 aws Cli 针对上述资源执行 put-secret-value
时,它起作用并且上述策略没有阻止他们。我对上述 AWS 文档的理解是:
这个假设正确吗?如果是这样,除了某些人之外,我如何才能阻止所有人?
问候,
我想我需要按照文档中的说明执行 NotPrincipal with DENY
https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notprincipal.html
,访问同一账户内的资源时,如果资源策略明确授予访问权限或 IAM 用户/角色策略明确授予访问权限,则授予访问权限。
使用资源策略进行跨账户访问时,用户/角色 IAM 策略和资源策略都必须 grant access。
此外,如果任何地方(IAM 或资源策略)access is denied 处都有 DENY 语句。如果在任何地方未明确授予访问权限,则默认情况下(本地帐户或跨帐户)将被拒绝。
您没有详细说明用户是在同一帐户中还是在不同帐户中,但听起来他们是在同一个帐户中。如果用户在同一账户中,则不得在其 IAM 策略中授予他们访问权限,或者资源策略中必须有明确的拒绝语句。您还可以将您的政策更改为拒绝与非主要声明一起使用。然后,只要他们的 IAM 用户/角色策略允许,只有被允许的委托人才能访问机密。
以上是大佬教程为你收集整理的AWS Secret Manager - 在仅设置特定委托人列表时授予每个人访问权限全部内容,希望文章能够帮你解决AWS Secret Manager - 在仅设置特定委托人列表时授予每个人访问权限所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。