我的 AWS Secrets Manager 中有一些需要使用以下命令从 EC2 实例访问的密钥:
aws secretsmanager get-secret-value --secret-id Test/Dev-key
我创建了一个仅用于此目的的 IAM 用户,并创建了一个 IAM 组来应用我创建的 SecretManagerPolicy。我希望这个用户只能访问Test/
他们名字中的密钥。所以这是我制定的政策:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": "arn:aws:secretsmanager:*:*:secret:Test/*"
}
]
}
我的用户无法访问任何密钥或列出它们。如果我用秘密的完整 arn 替换 Resource 字段,我可以列出所有这些。
我还尝试使用标签添加条件,但我仍然可以列出没有标签的秘密。
要么我可以访问所有秘密,要么没有。