如何限制某些用户访问"检索秘密值" ?从秘密管理器还是只给某些用户访问权限?我怎么能从boto3甚至控制台做到这一点呢?
AWS文档中有一个关于ABAC(基于属性的访问控制;也就是标签),描述了如何做到这一点。本教程虽然读起来有点长,但总而言之,您可以在秘密和用户/角色上添加标记,并将IAM策略中的标记值与条件进行比较:
"Condition": {
"StringEquals": {
"aws:ResourceTag/MYTAGNAME": "${aws:PrincipalTag/MYTAGNAME}"
}
},
您也可以对机密使用资源策略。