如何限制 AWS IAM 组访问 AWS Secret Manager?
How to limit access of an AWS IAM Group to access a AWS Secret Manager?
我想在 AWS 中创建我的 Secret Manager 的 IAM 策略,以限制对管理员组的访问。但是在 IAM 策略中,我无法为 IAM 组创建具有单一访问权限的条件。我可以限制特定用户、角色,但不能限制组。
我发现你可以限制一个角色,然后管理员可以创建一个临时的link,用户可以临时附加一个小时的角色权限。 Link:https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html。
但我不认为这对我来说是最好的过程。
所以答案是您将 IAM 策略放在了错误的位置。
使用 IAM 组,您可以将 Identity 策略分配给该组,然后过滤到该组中的所有用户。
对于资源(例如 Secret Manager),您可以分配 资源 可以限制对该资源的访问的策略(或授予特定其他资源超出其他策略的特定许可)
实际上,您想创建一个授予 Secret Manager 权限的策略,然后将该策略附加到您的组,而不是在 Secret Manager 上创建一个将授予管理员访问权限的策略。
https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html
我想在 AWS 中创建我的 Secret Manager 的 IAM 策略,以限制对管理员组的访问。但是在 IAM 策略中,我无法为 IAM 组创建具有单一访问权限的条件。我可以限制特定用户、角色,但不能限制组。
我发现你可以限制一个角色,然后管理员可以创建一个临时的link,用户可以临时附加一个小时的角色权限。 Link:https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html。 但我不认为这对我来说是最好的过程。
所以答案是您将 IAM 策略放在了错误的位置。
使用 IAM 组,您可以将 Identity 策略分配给该组,然后过滤到该组中的所有用户。
对于资源(例如 Secret Manager),您可以分配 资源 可以限制对该资源的访问的策略(或授予特定其他资源超出其他策略的特定许可)
实际上,您想创建一个授予 Secret Manager 权限的策略,然后将该策略附加到您的组,而不是在 Secret Manager 上创建一个将授予管理员访问权限的策略。
https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html