如何限制 AWS IAM 组访问 AWS Secret Manager？

Posted 2023-03-28

【中文标题】如何限制 AWS IAM 组访问 AWS Secret Manager？

【英文标题】：How to limit access of an AWS IAM Group to access a AWS Secret Manager?

【发布时间】：2021-11-26 23:06:37

【问题描述】：

我想在 AWS 中创建我的 Secret Manager 的 IAM 策略，以限制对管理员组的访问。但在 IAM 政策中，我无法为 IAM 组创建具有单一访问权限的条件。我可以限制特定用户、角色，但不能限制组。

我发现你可以限制一个角色，然后管理员可以创建一个临时链接，用户可以临时附加角色权限一小时。链接：https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html。 但我不认为这对我来说是最好的过程。

【参考方案1】：

所以答案是您将 IAM 政策放在了错误的位置。

使用 IAM 组，您可以将 Identity 策略分配给组，然后过滤到该组中的所有用户。

使用资源（例如 Secret Manager），您可以分配 Resource 可以限制对该资源的访问的策略（或授予其他特定资源之外的特定许可）

实际上，您希望创建一个授予 Secret Manager 权限的策略，然后将该策略附加到您的组，而不是在 Secret Manager 上创建一个授予管理员访问权限的策略。

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html

【讨论】：

你是对的。这是我找到的最佳解决方案。与其尝试控制资源策略，不如更好地控制您在 IAM 组中向谁授予权限。使用特权较少的概念，为每个人提供尽可能少的访问权限。我发现了其他效率不高的可能解决方案，例如使用 TAG Admin 标记每个用户，并在策略中使用 "Condition": "StringNotEquals": "aws:PrincipalTag/admin": "true", 但进行验证管理员需要控制标签权限。