Speichern von PagerDuty Anmeldeinformationen in einem - AWS Secrets Manager Secret - Incident Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Speichern von PagerDuty Anmeldeinformationen in einem - AWS Secrets Manager Secret

Nachdem Sie die Integration mit PagerDuty für einen Reaktionsplan aktiviert haben, arbeitet Incident Manager wie folgt mit PagerDuty zusammen:

  • Incident Manager erstellt einen entsprechenden Vorfall in PagerDuty , wenn Sie einen neuen Vorfall in Incident Manager erstellen.

  • Der Auslagerungs-Workflow und die Eskalationsrichtlinien, die Sie in erstellt haben, PagerDuty werden in der PagerDuty Umgebung verwendet. Incident Manager importiert Ihre PagerDuty Konfiguration jedoch nicht.

  • Incident Manager veröffentlicht Zeitachsenereignisse als Hinweise auf den Vorfall in PagerDutybis zu maximal 2 000 Notizen.

  • Sie können wählen, ob Sie PagerDuty Vorfälle automatisch lösen möchten, wenn Sie den zugehörigen Vorfall in Incident Manager beheben.

Um Incident Manager in zu integrieren PagerDuty, müssen Sie zunächst ein Secret in erstellen AWS Secrets Manager , das Ihre PagerDuty Anmeldeinformationen enthält. Dadurch kann Incident Manager mit Ihrem PagerDuty Service kommunizieren. Anschließend können Sie einen PagerDuty Service in Reaktionspläne aufnehmen, die Sie in Incident Manager erstellen.

Dieses Secret, das Sie in Secrets Manager erstellen, muss im korrekten JSON-Format Folgendes enthalten:

  • Ein API-Schlüssel aus Ihrem PagerDuty Konto. Sie können entweder einen REST-API-Schlüssel für allgemeinen Zugriff oder einen REST-API-Schlüssel für Benutzer-Token verwenden.

  • Eine gültige Benutzer-E-Mail-Adresse aus Ihrer PagerDuty Subdomäne.

  • Die PagerDuty Serviceregion, in der Sie Ihre Subdomäne bereitgestellt haben.

    Anmerkung

    Alle Services in einer PagerDuty Subdomäne werden in derselben Serviceregion bereitgestellt.

Voraussetzungen

Bevor Sie das Secret in Secrets Manager erstellen, stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen.

KMS-Schlüssel

Sie müssen das von Ihnen erstellte Secret mit einem vom Kunden verwalteten Schlüssel verschlüsseln, den Sie in AWS Key Management Service () erstellt habenAWS KMS. Sie geben diesen Schlüssel an, wenn Sie das Secret erstellen, das Ihre PagerDuty Anmeldeinformationen speichert.

Wichtig

Secrets Manager bietet die Möglichkeit, das Secret mit einem zu verschlüsseln Von AWS verwalteter Schlüssel, aber dieser Verschlüsselungsmodus wird nicht unterstützt.

Der vom Kunden verwaltete Schlüssel muss die folgenden Anforderungen erfüllen:

  • Schlüsseltyp : Wählen Sie Symmetrisch aus.

  • Schlüsselnutzung: Wählen Sie Verschlüsseln und Entschlüsseln aus.

  • Regionalität: Wenn Sie Ihren Reaktionsplan auf mehrere replizieren möchten AWS-Regionen, stellen Sie sicher, dass Sie den multiregionalen Schlüssel auswählen.

     

Schlüsselrichtlinie

Der Benutzer, der den Reaktionsplan konfiguriert, muss über die Berechtigung für kms:GenerateDataKey und kms:Decrypt in der ressourcenbasierten Richtlinie des Schlüssels verfügen. Der ssm-incidents.amazonaws.com Service-Prinzipal muss über die Berechtigung für kms:GenerateDataKey und kms:Decrypt in der ressourcenbasierten Richtlinie des Schlüssels verfügen.

Die folgende Richtlinie zeigt diese Berechtigungen. Ersetzen Sie jedes Platzhalter für Benutzereingaben durch Ihre eigenen Informationen.

{
    "Version": "2012-10-17",
    "Id": "key-consolepolicy-3",
    "Statement": [
        {
            "Sid": "Enable IAM user permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow creator of response plan to use the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "IAM_ARN_of_principal_creating_response_plan"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow Incident Manager to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm-incidents.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        }
    ]
}

Informationen zum Erstellen eines neuen kundenverwalteten Schlüssels finden Sie unter Erstellen von KMS-Schlüsseln mit symmetrischer Verschlüsselung im AWS Key Management Service -Entwicklerhandbuch. Weitere Informationen zu - AWS KMS Schlüsseln finden Sie unter AWS KMS -Konzepte.

Wenn ein vorhandener kundenverwalteter Schlüssel alle vorherigen Anforderungen erfüllt, können Sie seine Richtlinie bearbeiten, um diese Berechtigungen hinzuzufügen. Informationen zum Aktualisieren der Richtlinie in einem vom Kunden verwalteten Schlüssel finden Sie unter Ändern einer Schlüsselrichtlinie im AWS Key Management Service Entwicklerhandbuch für .

Tipp

Sie können einen Bedingungsschlüssel angeben, um den Zugriff noch weiter einzuschränken. Die folgende Richtlinie erlaubt beispielsweise den Zugriff nur über Secrets Manager in der Region USA Ost (Ohio) (us-east-2):

{
    "Sid": "Enable IM Permissions",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-incidents.amazonaws.com"
    },
    "Action": ["kms:Decrypt", "kms:GenerateDataKey*"],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com"
        }
    }
}
GetSecretValue Berechtigung

Die IAM-Identität (Benutzer, Rolle oder Gruppe), die den Reaktionsplan erstellt, muss über die IAM-Berechtigung verfügensecretsmanager:GetSecretValue.

So speichern Sie PagerDuty Anmeldeinformationen in einem - AWS Secrets Manager Secret

  1. Folgen Sie den Schritten bis Schritt 3a unter Erstellen eines - AWS Secrets Manager Secrets im AWS Secrets Manager -Benutzerhandbuch.

  2. Gehen Sie für Schritt 3b für Schlüssel/Wert-Paare wie folgt vor:

    • Wählen Sie die Registerkarte Klartext aus.

    • Ersetzen Sie den Standardinhalt des Felds durch die folgende JSON-Struktur:

      {
    "pagerDutyToken": "pagerduty-token",
    "pagerDutyServiceRegion": "pagerduty-region",
    "pagerDutyFromEmail": "pagerduty-email"
}

    • Ersetzen Sie im eingefügten JSON-Beispiel die Platzhalterwerte wie folgt:

      • pagerduty-token: Der Wert eines REST-API-Schlüssels für allgemeinen Zugriff oder eines REST-API-Schlüssels für Benutzer-Token aus Ihrem PagerDuty Konto.

        Weitere Informationen finden Sie unter API-Zugriffsschlüssel in der PagerDuty Wissensdatenbank .

      • pagerduty-region: Die Serviceregion des PagerDuty Rechenzentrums, das Ihre PagerDuty Subdomäne hostet.

        Weitere Informationen finden Sie unter Serviceregionen in der PagerDuty Wissensdatenbank .

      • pagerduty-email: Die gültige E-Mail-Adresse für einen Benutzer, der zu Ihrer PagerDuty Subdomäne gehört.

        Weitere Informationen finden Sie unter Benutzer verwalten in der PagerDuty Wissensdatenbank .

      Das folgende Beispiel zeigt ein abgeschlossenes JSON-Secret, das die erforderlichen PagerDuty Anmeldeinformationen enthält:

      {
    "pagerDutyToken": "y_NbAkKc66ryYEXAMPLE",
    "pagerDutyServiceRegion": "US",
    "pagerDutyFromEmail": "JohnDoe@example.com"
}

  3. Wählen Sie in Schritt 3c für Verschlüsselungsschlüssel einen vom Kunden verwalteten Schlüssel aus, der die im vorherigen Abschnitt Voraussetzungen aufgeführten Anforderungen erfüllt.

  4. Gehen Sie in Schritt 4c für Ressourcenberechtigungen wie folgt vor:

    • Erweitern Sie Ressourcenberechtigungen .

    • Wählen Sie Berechtigungen bearbeiten aus.

    • Ersetzen Sie den Standardinhalt des Richtlinienfelds durch die folgende JSON-Struktur:

      {
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-incidents.amazonaws.com"
    },
    "Action": "secretsmanager:GetSecretValue",
    "Resource": "*"
}

    • Wählen Sie Speichern.

  5. Gehen Sie in Schritt 4d für Secret replizieren wie folgt vor, wenn Sie Ihren Reaktionsplan auf mehr als ein repliziert haben AWS-Region:

    • Erweitern Sie Geheimnis replizieren.

    • Wählen Sie für die Region ausAWS-Region, in die Sie Ihren Reaktionsplan repliziert haben.

    • Wählen Sie für Verschlüsselungsschlüssel einen kundenverwalteten Schlüssel aus, den Sie in dieser Region erstellt oder repliziert haben und der die im Abschnitt Voraussetzungen aufgeführten Anforderungen erfüllt.

    • AWS-RegionWählen Sie für jede weitere Region hinzufügen und wählen Sie den Namen der Region und den vom Kunden verwalteten Schlüssel aus.

  6. Führen Sie die verbleibenden Schritte unter Erstellen eines - AWS Secrets Manager Secrets im AWS Secrets Manager -Benutzerhandbuch aus.

Informationen zum Hinzufügen eines PagerDuty Services zu einem Incident Manager-Vorfall-Workflow finden Sie unter Integrieren eines PagerDuty Services in den Reaktionsplan im Thema Erstellung eines Reaktionsplans.

Ähnliche Informationen

So automatisieren Sie die Reaktion auf Vorfälle mit PagerDuty und AWS Systems Manager Incident Manager (AWS Cloud -Blog für Betrieb und Migrationen)

Secret-Verschlüsselung in AWS Secrets Manager im AWS Secrets Manager -Benutzerhandbuch