限制对机密的访问

为确保存储在 Secrets Manager 中的组织机密的安全，请限制非管理员用户和应用程序的访问权限。

• 查看 IAM 设置，确认不允许对 Secrets Manager 服务进行许可访问。
• 只允许非管理员用户和应用程序在完成任务所需的时间内访问机密，并在不再需要时及时撤销访问权限。
• 在分配访问权限时，应遵循最小特权原则。 限制对特定 Secrets Manager 实例或秘密组的访问，并只分配所需操作所需的最低服务角色。 此外，您还可以 配置自定义 IAM 角色，以限制对特定 Secrets Manager 操作集的访问，从而满足工作负载的需求。

查看帐户中资源的层次结构

当您使用 Secrets Manager 来设计私钥管理策略时，请考虑 IBM Cloud 帐户中的资源层次结构以及它们如何继承分配给它们的访问策略。 提前确定哪些用户或服务标识需要访问以管理私钥。 通过定义信任圈，您可以帮助降低凭证受损的风险。

1. 使用资源组来组织您希望帐户中的开发者组使用的 Secrets Manager 实例。 要创建资源组，请转至 管理> 帐户> 帐户资源> 资源组。

   如果按项目环境级别 (例如，开发，测试和生产) 组织帐户中的资源组，请为每个资源组创建 Secrets Manager 实例，以便您可以根据每个开发阶段来分隔私钥。 有关使用资源组的更多信息，请参阅 什么是好的资源组策略?

2. 使用访问组来组织需要对 Secrets Manager 实例具有相同访问级别的用户和服务标识。 要创建访问组，请转至 管理> 访问权 (IAM)> 访问组。

   例如，可以为需要对资源组中的资源 (包括 Secrets Manager 实例) 进行管理员访问的用户或服务标识创建单个访问组 (例如 Admin-Group)。 这样，您可以将单个策略分配给访问组，而不是为每个用户或服务标识分配单个策略。 有关使用访问组的更多信息，请参阅 什么是好的访问组策略?

使用私钥组在 Secrets Manager 实例中组织私钥

使用私钥组可在实例级别缩小对特定私钥的访问范围。

1. 创建私钥组以分配对一组私钥 (例如映射到特定应用程序的私钥) 的更细粒度访问权。 要创建私钥组，请转至 Secrets Manager UI> 私钥组> 创建。

   如果您熟悉使用资源组，请考虑以类似于在资源组中组织资源的方式在私钥组中组织私钥。 作为管理员，您可以创建私钥组来控制对实例中私钥的访问。 例如，您可以创建仅包含用于向特定资源或系统进行认证的私钥的私钥组。 然后，将私钥组分配给 IAM 访问组，以便只有所选用户或服务标识能够访问这些私钥。 有关管理私钥组的更多信息，请参阅 组织私钥。

   创建 Secrets Manager 实例时，将为您创建缺省密钥组。 首先创建私钥组很重要，因为创建私钥组后无法更改私钥的分配。 如果您意外地将私钥分配给错误的私钥组，或者如果您不希望私钥属于缺省私钥组，请删除该私钥并创建新的私钥。

2. (可选) 使用私钥组以允许对帐户中的特定资源进行特权访问。

   私钥组可用于授予对资源的直接访问权，否则无法通过 IAM 进行访问。 例如，假定 User A 无权访问 IAM 中的 Service A。 如果您创建将 User A 分配给 Secret Group A 的 IAM 访问策略，并且 Secret Group A 包含具有授予 Service A 访问权的服务标识的 IAM 凭证，那么您将授予 User A 对 Service A 的访问权。 在此场景中，Secret Group A 将成为 Service A 的网关，即使 IAM 中存在限制也是如此。 请记住，在此场景中，可以无意中授予对资源的访问权。 请仔细查看配置，以确保私钥组分配不会意外覆盖 IAM 访问策略。

3. 定期审计私钥组，并在不再需要私钥组时将其除去。

   仅授予所需的最低访问权，并在不再需要私钥组时将其删除。

   要删除私钥组，它必须为空。 如果需要除去包含私钥的私钥组，那么必须首先 删除属于该组的私钥。

通过添加标签来跟踪相关私钥

添加标签，以便您可以通过实例中的私钥进行进一步搜索和分类。 当您使用一致的标签模式时，可以轻松地将类似的私钥分组在一起。

1. 使用一致模式 (例如，创建标签以区分将哪些私钥用于特定用途) 来标注私钥。 要使用 Secrets Manager UI 添加标签，请转至“私钥”页面，然后选择私钥以编辑其详细信息。