访问权限控制

Identity and Access Management (IAM) 角色决定了使用 Secret Manager API 的方式。下面列出了 Secret Manager 可用的每个 IAM 角色以及可授予该角色的功能。

角色 名称 说明 权限 最低资源要求
roles/secretmanager.admin Secret Manager Admin 拥有管理 Secret Manager 资源所需的完整访问权限。
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • secretmanager.*
密钥
roles/secretmanager.secretAccessor Secret Manager Secret Accessor 允许访问密钥的载荷。
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • secretmanager.versions.access
密钥
roles/secretmanager.secretVersionAdder Secret Manager Secret Version Adder 允许向现有密钥添加版本。
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • secretmanager.versions.add
密钥
roles/secretmanager.secretVersionManager Secret Manager Secret Version Manager 允许创建和管理现有密钥的版本。
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • secretmanager.versions.add
  • secretmanager.versions.destroy
  • secretmanager.versions.disable
  • secretmanager.versions.enable
  • secretmanager.versions.get
  • secretmanager.versions.list
密钥
roles/secretmanager.viewer Secret Manager Viewer 允许查看所有 Secret Manager 资源的元数据
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • secretmanager.locations.*
  • secretmanager.secrets.get
  • secretmanager.secrets.getIamPolicy
  • secretmanager.secrets.list
  • secretmanager.versions.get
  • secretmanager.versions.list
密钥

最小权限原则

当您遵循最小权限原则时,您将为执行特定任务所需的资源授予最低级别的访问权限。例如,如果成员需要访问单个密文,请勿向该成员授予对项目或组织中其他密文或所有密文的访问权限。如果成员只需要读取密文,请勿向该成员修改密文。

您可以使用 IAM 在 Google Cloud 密文、项目、文件夹或组织级别授予 IAM 角色和权限。始终在资源层次结构中应用最低级别的权限。

此表根据授予了 Secret Manager Secret Accessor 角色 (roles/secretmanager.secretAccessor) 的资源层次结构级别,提供了服务帐号的有效功能。

资源层次结构 能力
密文 仅访问该密文
项目 访问项目中的所有密文
文件夹 访问文件夹中所有项目中的所有密文
组织 访问组织的所有项目中的所有密文

如果成员只需要访问单个密文的值,请不要向该成员授予访问所有密文的权限。例如,您可以为服务帐号授予单个 Secret Manager Secret Accessor 角色 (roles/secretmanager.secretAccessor)。

如果成员只需要管理单个密文,请不要授予该成员管理所有密文的权限。例如,您可以向单个密文授予服务帐号 Secret Admin 角色 (roles/secretmanager.admin)。

IAM Conditions

IAM Conditions 允许您为某些 Google Cloud 资源(包括 Secret Manager 资源)定义和强制执行基于属性的条件访问权限控制。

在 Secret Manager 中,您可以根据以下属性强制执行条件访问权限:

  • 日期/时间属性:用于设置 Secret Manager 资源的可过期、定期或限制时长的访问权限。例如,您可以允许用户访问某个密文,直到指定日期为止。
  • 资源属性:用于根据资源名称、资源类型或资源服务属性配置条件访问权限。在 Secret Manager 中,您可以使用密文和密文版本的属性来配置条件访问权限。例如,您可以允许用户仅管理以特定前缀开头的密文,或仅允许访问特定密文版本。

如需详细了解 IAM 条件,请参阅条件概览

后续步骤