Speichern von PagerDuty Zugangsdaten in einem AWS Secrets Manager geheimen Ordner - Incident Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Speichern von PagerDuty Zugangsdaten in einem AWS Secrets Manager geheimen Ordner

Nachdem Sie die Integration mit PagerDuty für einen Reaktionsplan aktiviert haben, arbeitet Incident Manager auf folgende PagerDuty Weise mit:

  • Incident Manager erstellt einen entsprechenden Incident PagerDuty , wenn Sie einen neuen Incident in Incident Manager erstellen.

  • Der Paging-Workflow und die Eskalationsrichtlinien, in denen Sie erstellt haben, PagerDuty werden in der PagerDuty Umgebung verwendet. Incident Manager importiert Ihre PagerDuty Konfiguration jedoch nicht.

  • Incident Manager veröffentlicht Ereignisse auf der Zeitleiste als Notizen zum Vorfall in PagerDuty bis zu 2.000 Notizen.

  • Sie können festlegen, dass PagerDuty Vorfälle automatisch behoben werden, wenn Sie den entsprechenden Vorfall in Incident Manager lösen.

Um Incident Manager mit zu integrieren PagerDuty, müssen Sie zunächst einen geheimen Ordner erstellen AWS Secrets Manager , der Ihre PagerDuty Anmeldeinformationen enthält. Diese ermöglichen es Incident Manager, mit Ihrem PagerDuty Service zu kommunizieren. Anschließend können Sie einen PagerDuty Service in die Reaktionspläne aufnehmen, die Sie in Incident Manager erstellen.

Dieses Geheimnis, das Sie in Secrets Manager erstellen, muss im richtigen JSON Format Folgendes enthalten:

  • Ein API Schlüssel von Ihrem PagerDuty Konto. Sie können entweder einen allgemeinen REST API Zugriffsschlüssel oder einen REST API Benutzer-Token-Schlüssel verwenden.

  • Eine gültige Benutzer-E-Mail-Adresse aus Ihrer PagerDuty Subdomain.

  • Die PagerDuty Serviceregion, in der Sie Ihre Subdomain bereitgestellt haben.

    Anmerkung

    Alle Dienste in einer PagerDuty Subdomain werden in derselben Serviceregion bereitgestellt.

Voraussetzungen

Bevor Sie das Geheimnis in Secrets Manager erstellen, stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen.

KMSSchlüssel

Sie müssen das von Ihnen erstellte Geheimnis mit einem vom Kunden verwalteten Schlüssel verschlüsseln, den Sie in AWS Key Management Service (AWS KMS) erstellt haben. Sie geben diesen Schlüssel an, wenn Sie das Geheimnis erstellen, in dem Ihre PagerDuty Anmeldeinformationen gespeichert werden.

Wichtig

Secrets Manager bietet die Möglichkeit, das Geheimnis mit einem zu verschlüsseln Von AWS verwalteter Schlüssel, aber dieser Verschlüsselungsmodus wird nicht unterstützt.

Der vom Kunden verwaltete Schlüssel muss die folgenden Anforderungen erfüllen:

  • Schlüsseltyp: Wählen Sie Symmetrisch.

  • Verwendung des Schlüssels: Wählen Sie Verschlüsseln und Entschlüsseln.

  • Regionalität: Wenn Sie Ihren Reaktionsplan auf mehrere replizieren möchten, stellen Sie sicher AWS-Regionen, dass Sie den Schlüssel für mehrere Regionen auswählen.

     

Schlüsselrichtlinie

Der Benutzer, der den Reaktionsplan konfiguriert, muss über die entsprechenden Berechtigungen für die kms:GenerateDataKey ressourcenbasierte kms:Decrypt Richtlinie des Schlüssels verfügen. Der ssm-incidents.amazonaws.com Dienstprinzipal muss über Berechtigungen für kms:GenerateDataKey und kms:Decrypt für die ressourcenbasierte Richtlinie des Schlüssels verfügen.

Die folgende Richtlinie veranschaulicht diese Berechtigungen. Ersetze jedes user input placeholder mit Ihren eigenen Informationen.

{
    "Version": "2012-10-17",
    "Id": "key-consolepolicy-3",
    "Statement": [
        {
            "Sid": "Enable IAM user permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow creator of response plan to use the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "IAM_ARN_of_principal_creating_response_plan"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow Incident Manager to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm-incidents.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        }
    ]
}

Informationen zur Erstellung eines neuen, vom Kunden verwalteten Schlüssels finden Sie unter Creating symmetric encryption KMS keys im AWS Key Management Service Developer Guide. Weitere Informationen zu AWS KMS Schlüsseln finden Sie unter AWS KMS Konzepte.

Wenn ein vorhandener, vom Kunden verwalteter Schlüssel alle vorherigen Anforderungen erfüllt, können Sie seine Richtlinie bearbeiten, um diese Berechtigungen hinzuzufügen. Informationen zur Aktualisierung der Richtlinie in einem vom Kunden verwalteten Schlüssel finden Sie unter Ändern einer Schlüsselrichtlinie im AWS Key Management Service Entwicklerhandbuch.

Tipp

Sie können einen Bedingungsschlüssel angeben, um den Zugriff noch weiter einzuschränken. Die folgende Richtlinie erlaubt beispielsweise den Zugriff über Secrets Manager nur in der Region USA Ost (Ohio) (us-east-2):

{
    "Sid": "Enable IM Permissions",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-incidents.amazonaws.com"
    },
    "Action": ["kms:Decrypt", "kms:GenerateDataKey*"],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com"
        }
    }
}
GetSecretValueErlaubnis

Die IAM Identität (Benutzer, Rolle oder Gruppe), die den Reaktionsplan erstellt, muss über die IAM entsprechende Berechtigung verfügensecretsmanager:GetSecretValue.

Um PagerDuty Zugangsdaten AWS Secrets Manager geheim zu speichern

  1. Folgen Sie den Schritten bis Schritt 3a unter Create an AWS Secrets Manager Secret (Ein Geheimnis erstellen) im AWS Secrets Manager Benutzerhandbuch.

  2. Gehen Sie für Schritt 3b für Schlüssel/Wert-Paare wie folgt vor:

    • Wählen Sie die Registerkarte Klartext.

    • Ersetzen Sie den Standardinhalt des Felds durch die folgende JSON Struktur:

      {
    "pagerDutyToken": "pagerduty-token",
    "pagerDutyServiceRegion": "pagerduty-region",
    "pagerDutyFromEmail": "pagerduty-email"
}

    • Ersetzen Sie in dem JSON Beispiel, das Sie eingefügt haben placeholder values wie folgt festlegt:

      • pagerduty-token: Der Wert eines allgemeinen REST API Zugriffsschlüssels oder eines REST API Benutzer-Token-Schlüssels aus Ihrem PagerDuty Konto.

        Weitere Informationen finden Sie in der PagerDuty Knowledge Base unter APIAccess Keys.

      • pagerduty-region: Die Serviceregion des PagerDuty Rechenzentrums, das Ihre PagerDuty Subdomain hostet.

        Weitere Informationen finden Sie in der PagerDuty Knowledge Base unter Serviceregionen.

      • pagerduty-email: Die gültige E-Mail-Adresse für einen Benutzer, der zu Ihrer PagerDuty Subdomain gehört.

        Weitere Informationen finden Sie in der PagerDuty Knowledge Base unter Benutzer verwalten.

      Das folgende Beispiel zeigt ein ausgefülltes JSON Geheimnis, das die erforderlichen PagerDuty Anmeldeinformationen enthält:

      {
    "pagerDutyToken": "y_NbAkKc66ryYEXAMPLE",
    "pagerDutyServiceRegion": "US",
    "pagerDutyFromEmail": "JohnDoe@example.com"
}

  3. Wählen Sie in Schritt 3c für den Verschlüsselungsschlüssel einen von Ihnen erstellten, vom Kunden verwalteten Schlüssel aus, der die im vorherigen Abschnitt Voraussetzungen aufgeführten Anforderungen erfüllt.

  4. Gehen Sie in Schritt 4c für Ressourcenberechtigungen wie folgt vor:

    • Erweitern Sie Ressourcenberechtigungen.

    • Wählen Sie „Berechtigungen bearbeiten“ aus.

    • Ersetzen Sie den Standardinhalt des Richtlinienfeldes durch die folgende JSON Struktur:

      {
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-incidents.amazonaws.com"
    },
    "Action": "secretsmanager:GetSecretValue",
    "Resource": "*"
}

    • Wählen Sie Save (Speichern) aus.

  5. Gehen Sie in Schritt 4d für Replicate Secret wie folgt vor, wenn Sie Ihren Reaktionsplan auf mehrere repliziert haben: AWS-Region

    • Erweitern Sie Secret replizieren.

    • Wählen Sie für die Region aus AWS-Region, in die Sie Ihren Reaktionsplan repliziert haben.

    • Wählen Sie als Verschlüsselungsschlüssel einen vom Kunden verwalteten Schlüssel aus, den Sie in dieser Region erstellt oder in diese Region repliziert haben und der die im Abschnitt Voraussetzungen aufgeführten Anforderungen erfüllt.

    • Wählen Sie für jede weitere AWS-Region Region die Option Region hinzufügen und wählen Sie den Namen der Region und den vom Kunden verwalteten Schlüssel aus.

  6. Führen Sie die verbleibenden Schritte unter Create an AWS Secrets Manager Secret im AWS Secrets Manager Benutzerhandbuch durch.

Informationen zum Hinzufügen eines PagerDuty Dienstes zu einem Incident Manager-Incident-Workflow finden Sie im Thema unter Integrieren eines PagerDuty Dienstes in den ReaktionsplanErstellung eines Reaktionsplans.

Ähnliche Informationen

So automatisieren Sie die Reaktion auf Vorfälle mit PagerDuty und AWS Systems Manager Incident Manager (AWS Cloud Operations and Migrations Blog)

Geheime Verschlüsselung finden Sie AWS Secrets Manager im Benutzerhandbuch AWS Secrets Manager