我目前正在处理在 AWS Secret Manager 中配置凭证轮换的任务,我做了一些阅读,据我了解,最佳实践是使用 Secret Manager 控制台上的功能“启用轮换”,然后 SM 将创建一个 Lambda功能并按照我们定义的时间表执行轮换(例如,每 30 天轮换一次等),但似乎需要IAMFullAccess角色来配置它,我的问题是如何检查我当前的 AWS 账户是否具有完全访问权限意思是我必须使用root帐户来配置这个?非常感谢。
问问题
950 次
1 回答
1
不,您不需要 root 访问权限来配置 Secrets Manager 密钥轮换。作为一般规则,您应该在设置适当的 IAM 用户后禁用根访问。实际上需要 root 访问权限的任务很少。
要检查您的 IAM 策略,请转到 IAM 控制台并列出附加到您(如果您是 IAM 用户和/或在 IAM 组中)或您承担的 IAM 角色(如果您是联合/SSO 用户)的策略)。如果您无法访问这些 IAM 资源,那么您就没有完整的 IAM 访问权限。
请注意,您不一定需要将托管策略命名为IAMFullAccess,但这通常是为您提供相关 IAM 权限的一种方式。您基本上需要该托管策略为您提供的权限(适用iam:*于所有资源)。
于 2020-01-28T16:09:31.373 回答