1

我使用带有前缀的实例配置文件将 EC2 服务器中的一些机密添加到 AWS SM mysecrets*。现在我正在尝试列出在帐户中创建的秘密,但我得到了:

错误用户无权执行 ListSecrets 操作

IAM 策略允许该操作,secretsmanager:ListSecrets并且 arn 是arn:aws:secretsmanger:region:accntid:secret:mysecrets*

我运行的命令:

aws secretsmanager list-secrets --region us-east-1

错误:

调用 ListSecrets 操作时出现错误 (AccessDeniedException):用户:arn:aws:sts::xxxxxx:assumed-role/ec2-xxxx-dev-s3-role/xxxxxx is not authorized to perform:secretsmanager:ListSecrets

4

1 回答 1

3

简短的回答:

AWS 不支持按前缀检索机密(截至 2020 年 1 月 7 日)

原因如下:

您可能尝试将资源 arn 限制与操作一起设置为策略ListSecrets。这将导致ListSecrets出现在策略 json 中,但实际上并未授予您的用户。

ListSecrets是全有或全无的交易,您不能像使用GetSecretValue.

您可以尝试创建没有 arn 限制的单独策略附件或声明。但是如果您的意图只是检索具有特定前缀的秘密,这将不会发生,它将返回所有秘密(是的,我知道,不是很可扩展)

请参阅下面的此链接,了解您可以和不能与 arn 等上下文相关联的操作列表:

https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_iam-permissions.html

于 2020-01-07T23:43:55.607 回答