Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS Secrets Manager Geheimnisse überwachen
AWS bietet Überwachungstools, um Secrets Manager Manager-Geheimnisse zu überwachen, zu melden, wenn etwas nicht stimmt, und gegebenenfalls automatische Maßnahmen zu ergreifen. Sie können die Protokolle verwenden, wenn Sie unerwartete Nutzung oder Änderungen untersuchen müssen. Anschließend ist es möglich, unerwünschte Änderungen rückgängig zu machen. Darüber hinaus können Sie automatische Prüfungen auf unangemessene Nutzung von Secrets und alle Versuche zum Löschen von Secrets einrichten.
**Topics**
+ [Loggen Sie sich mit AWS CloudTrail](monitoring-cloudtrail.md)
+ [Überwachen Sie mit CloudWatch](monitoring-cloudwatch.md)
+ [Kombiniere Secrets Manager Manager-Ereignisse mit EventBridge](monitoring-eventbridge.md)
+ [Überwachung von Geheimnissen, die zum Löschen eingeplant sind](monitoring_cloudwatch_deleted-secrets.md)
+ [Überwachen Sie geheime Daten auf Einhaltung der Vorschriften](configuring-awsconfig-rules.md)
+ [Secrets Manager Manager-Kosten überwachen](monitor-secretsmanager-costs.md)
+ [Erkennen Sie Bedrohungen mit GuardDuty](monitoring-guardduty.md)
# AWS Secrets Manager Ereignisse protokollieren mit AWS CloudTrail
AWS CloudTrail zeichnet alle API-Aufrufe für Secrets Manager als Ereignisse auf, einschließlich Aufrufe von der Secrets Manager Manager-Konsole sowie mehrere andere Ereignisse für die Rotation und das Löschen geheimer Versionen. Eine Liste der Protokolleinträge in Secrets Manager Manager-Datensätzen finden Sie unter[CloudTrail Einträge](cloudtrail_log_entries.md).
Sie können die CloudTrail Konsole verwenden, um die aufgezeichneten Ereignisse der letzten 90 Tage anzuzeigen. Für eine fortlaufende Aufzeichnung von Ereignissen in Ihrem AWS Konto, einschließlich Ereignissen für Secrets Manager, erstellen Sie einen Trail, sodass CloudTrail Protokolldateien an einen Amazon S3-Bucket gesendet werden. Weitere Informationen finden Sie unter [Einen Trail für Ihr AWS Konto erstellen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html). Sie können auch so konfigurieren CloudTrail , dass CloudTrail Protokolldateien von [mehreren AWS-Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) und empfangen [AWS-Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)werden.
Sie können andere AWS Dienste so konfigurieren, dass sie die in den CloudTrail Protokollen gesammelten Daten weiter analysieren und darauf reagieren. Weitere Informationen finden Sie unter [AWS Serviceintegrationen mit CloudTrail Protokollen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations). Sie können auch Benachrichtigungen erhalten, wenn neue Protokolldateien in Ihrem Amazon S3 S3-Bucket CloudTrail veröffentlicht werden. Weitere Informationen finden Sie [unter Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html).
**Um Secrets Manager Manager-Ereignisse aus CloudTrail Protokollen abzurufen (Konsole)**
1. Öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Stellen Sie sicher, dass die Konsole auf die Region zeigt, in der Ihre Ereignisse aufgetreten sind. In der Konsole werden nur die Ereignisse angezeigt, die in der ausgewählten Region aufgetreten sind. Wählen Sie die Region aus der Dropdownliste in der oberen rechten Ecke der Konsole aus.
1. Wählen Sie im Navigationsbereich links **Event history (Ereignisverlauf)** aus.
1. Wählen Sie **Filterkriterien** and/or und **Zeitraum** aus, damit Sie die Veranstaltung finden können, nach der Sie suchen. Beispiel:
1. Um alle Secrets Manager Manager-Ereignisse zu sehen, wählen Sie für **Lookup-Attribute** die Option **Ereignisquelle**. Wählen Sie für **Enter event source (Ereignisquelle eingeben)** die Option **secretsmanager.amazonaws.com** aus.
1. Um alle Ereignisse für ein Geheimnis anzuzeigen, wählen Sie für **Lookup-Attribute** die Option **Ressourcenname** aus. Geben Sie dann **unter Geben Sie einen Ressourcennamen** ein den Namen des Geheimnisses ein.
1. Um weitere Details anzuzeigen, klicken Sie auf den Erweiterungspfeil neben dem Ereignis. Wenn Sie alle verfügbaren Informationen sehen möchten, wählen Sie **View event (Ereignis anzeigen)** aus.
## AWS CLI
**Example Secrets Manager Manager-Ereignisse aus CloudTrail Protokollen abrufen**
Im folgenden [https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html)-Beispiel werden Secrets-Manager-Ereignisse gesucht.
```
aws cloudtrail lookup-events \
--region us-east-1 \
--lookup-attributes AttributeKey=EventSource,AttributeValue=secretsmanager.amazonaws.com
```
# AWS CloudTrail Einträge für Secrets Manager
AWS Secrets Manager schreibt Einträge in Ihr AWS CloudTrail Protokoll für alle Secrets Manager Manager-Operationen und für andere Ereignisse im Zusammenhang mit Rotation und Löschung. Informationen zum Ergreifen von Maßnahmen bei diesen Ereignissen finden Sie unter [Kombiniere Secrets Manager Manager-Ereignisse mit EventBridge](monitoring-eventbridge.md).
**Topics**
+ [Protokolleinträge für Secrets-Manager-Operationen](#cloudtrail_log_entries_operations)
+ [Protokolleinträge zum Löschen](#cloudtrail_log_entries_deletion)
+ [Protokolleinträge für die Replikation](#cloudtrail_log_entries_replication)
+ [Logeinträge für Rotation](#cloudtrail_log_entries_rotation)
## Protokolleinträge für Secrets-Manager-Operationen
Ereignisse, die durch Aufrufe von Secrets-Manager-Vorgängen generiert werden, haben `"detail-type": ["AWS API Call via CloudTrail"]`.
**Anmerkung**
Vor Februar 2024 meldeten einige Secrets Manager Manager-Operationen Ereignisse, die „ARn“ anstelle von "arn" für den geheimen ARN enthielten. Weitere Informationen finden Sie unter [AWS re:Post](https://repost.aws/knowledge-center/secrets-manager-arn).
Die folgenden CloudTrail Einträge werden generiert, wenn Sie oder ein Dienst Secrets Manager Manager-Operationen über die API, das SDK oder die CLI aufrufen.
**BatchGetSecretValue**
Durch den [BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html)Vorgang generiert. Weitere Informationen zum Abrufen von Secrets finden Sie unter [Hol dir Geheimnisse von AWS Secrets Manager](retrieving-secrets.md).
**CancelRotateSecret**
Durch die [CancelRotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CancelRotateSecret.html)Operation generiert. Weitere Informationen zur Rotation finden Sie unter [AWS Secrets Manager Geheimnisse rotieren](rotating-secrets.md).
**CreateSecret**
Durch die [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)Operation generiert. Weitere Informationen zum Erstellen von Secrets finden Sie unter [Verwalte Geheimnisse mit AWS Secrets Manager](managing-secrets.md).
**DeleteResourcePolicy**
Durch die [DeleteResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteResourcePolicy.html)Operation generiert. Weitere Informationen zu Berechtigungen finden Sie unter [Authentifizierung und Zugriffskontrolle für AWS Secrets Manager](auth-and-access.md).
**DeleteSecret**
Durch die [DeleteSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteSecret.html)Operation generiert. Weitere Informationen zum Löschen von Secrets finden Sie unter [Ein AWS Secrets Manager Geheimnis löschen](manage_delete-secret.md).
**DescribeSecret**
Durch die [DescribeSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html)Operation generiert.
**GetRandomPassword**
Durch die [GetRandomPassword](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetRandomPassword.html)Operation generiert.
**GetResourcePolicy**
Durch die [GetResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html)Operation generiert. Weitere Informationen zu Berechtigungen finden Sie unter [Authentifizierung und Zugriffskontrolle für AWS Secrets Manager](auth-and-access.md).
**GetSecretValue**
Generiert durch die [BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html)Operationen [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html)und. Weitere Informationen zum Abrufen von Secrets finden Sie unter [Hol dir Geheimnisse von AWS Secrets Manager](retrieving-secrets.md).
**ListSecrets**
Wird durch die [ListSecrets](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecrets.html)Operation generiert. Weitere Informationen zum Auflisten von Secrets finden Sie unter [Finde Geheimnisse in AWS Secrets Manager](manage_search-secret.md).
**ListSecretVersionIds**
Durch die [ListSecretVersionIds](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecretVersionIds.html)Operation generiert.
**PutResourcePolicy**
Durch die [PutResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html)Operation generiert. Weitere Informationen zu Berechtigungen finden Sie unter [Authentifizierung und Zugriffskontrolle für AWS Secrets Manager](auth-and-access.md).
**PutSecretValue**
Durch die [PutSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutSecretValue.html)Operation generiert. Weitere Informationen zum Aktualisieren eines Secrets finden Sie unter [Ein AWS Secrets Manager Geheimnis ändern](manage_update-secret.md).
**RemoveRegionsFromReplication**
Durch die [RemoveRegionsFromReplication](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RemoveRegionsFromReplication.html)Operation generiert. Weitere Informationen zum Replizieren eines Secrets finden Sie unter [Replizieren Sie AWS Secrets Manager Geheimnisse in allen Regionen](replicate-secrets.md).
**ReplicateSecretToRegions**
Durch die [ReplicateSecretToRegions](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html)Operation generiert. Weitere Informationen zum Replizieren eines Secrets finden Sie unter [Replizieren Sie AWS Secrets Manager Geheimnisse in allen Regionen](replicate-secrets.md).
**RestoreSecret**
Durch die [RestoreSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RestoreSecret.html)Operation generiert. Weitere Informationen zum Wiederherstellen eines gelöschten Secrets finden Sie unter [Ein AWS Secrets Manager Geheimnis wiederherstellen](manage_restore-secret.md).
**RotateSecret**
Durch die [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)Operation generiert. Weitere Informationen zur Rotation finden Sie unter [AWS Secrets Manager Geheimnisse rotieren](rotating-secrets.md).
**StopReplicationToReplica**
Durch die [StopReplicationToReplica](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html)Operation generiert. Weitere Informationen zum Replizieren eines Secrets finden Sie unter [Replizieren Sie AWS Secrets Manager Geheimnisse in allen Regionen](replicate-secrets.md).
**TagResource**
Durch die [TagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_TagResource.html)Operation generiert. Weitere Informationen zum Markieren eines Secrets finden Sie unter [Geheimnisse markieren in AWS Secrets Manager](managing-secrets_tagging.md).
**UntagResource**
Durch die [UntagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UntagResource.html)Operation generiert. Weitere Informationen zum Aufheben der Markierung eines Secrets finden Sie unter [Geheimnisse markieren in AWS Secrets Manager](managing-secrets_tagging.md).
**UpdateSecret**
Durch die [UpdateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecret.html)Operation generiert. Weitere Informationen zum Aktualisieren eines Secrets finden Sie unter [Ein AWS Secrets Manager Geheimnis ändern](manage_update-secret.md).
**UpdateSecretVersionStage**
Durch die [UpdateSecretVersionStage](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecretVersionStage.html)Operation generiert. Weitere Informationen zu Versionsstufen finden Sie unter [Geheime Versionen](whats-in-a-secret.md#term_version).
**ValidateResourcePolicy**
Durch die [ValidateResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ValidateResourcePolicy.html)Operation generiert. Weitere Informationen zu Berechtigungen finden Sie unter [Authentifizierung und Zugriffskontrolle für AWS Secrets Manager](auth-and-access.md).
## Protokolleinträge zum Löschen
Zusätzlich zu den Ereignissen für Secrets-Manager-Operationen generiert Secrets Manager die folgenden Ereignisse im Zusammenhang mit dem Löschen. Diese Ereignisse haben `"detail-type": ["AWS Service Event via CloudTrail"]`.
**CancelSecretVersionDelete**
Generiert vom Secrets-Manager-Dienst. Wenn Sie `DeleteSecret` für ein Secret mit Versionen aufrufen und später `RestoreSecret` aufrufen, protokolliert Secrets Manager dieses Ereignis für jede wiederhergestellte Secret-Version. Weitere Informationen zum Wiederherstellen eines gelöschten Secrets finden Sie unter [Ein AWS Secrets Manager Geheimnis wiederherstellen](manage_restore-secret.md).
**EndSecretVersionDelete**
Wird generiert vom Secrets Manager, wenn eine Version eines Secrets gelöscht wurde. Weitere Informationen finden Sie unter [Ein AWS Secrets Manager Geheimnis löschen](manage_delete-secret.md).
**StartSecretVersionDelete**
Wird vom Secrets Manager generiert, wenn Secrets Manager mit dem Löschen einer Secret-Version beginnt. Weitere Informationen zum Löschen von Secrets finden Sie unter [Ein AWS Secrets Manager Geheimnis löschen](manage_delete-secret.md).
**SecretVersionDeletion**
Wird vom Secrets Manager generiert, wenn Secrets Manager eine veraltete Secret-Version löscht. Weitere Informationen hierzu finden Sie unter [Secret-Versionen](whats-in-a-secret.md#term_version).
## Protokolleinträge für die Replikation
Zusätzlich zu den Ereignissen für Secrets-Manager-Operationen generiert Secrets Manager die folgenden Ereignisse im Zusammenhang mit der Replikation. Diese Ereignisse haben `"detail-type": ["AWS Service Event via CloudTrail"]`.
**ReplicationFailed**
Wird vom Secrets-Manager-Service generiert, wenn die Replikation fehlschlägt. Weitere Informationen zum Replizieren eines Secrets finden Sie unter [Replizieren Sie AWS Secrets Manager Geheimnisse in allen Regionen](replicate-secrets.md).
**ReplicationStarted**
Wird vom Secrets-Manager-Service generiert, wenn Secrets Manager mit der Replikation eines Secrets beginnt. Weitere Informationen zum Replizieren eines Secrets finden Sie unter [Replizieren Sie AWS Secrets Manager Geheimnisse in allen Regionen](replicate-secrets.md).
**ReplicationSucceeded**
Wird von Secrets Manager generiert, wenn ein Secret erfolgreich repliziert wurde. Weitere Informationen zum Replizieren eines Secrets finden Sie unter [Replizieren Sie AWS Secrets Manager Geheimnisse in allen Regionen](replicate-secrets.md).
## Logeinträge für Rotation
Zusätzlich zu den Ereignissen für Secrets-Manager-Operationen generiert Secrets Manager die folgenden Ereignisse im Zusammenhang mit der Rotation. Diese Ereignisse haben `"detail-type": ["AWS Service Event via CloudTrail"]`.
**RotationStarted**
Wird vom Secrets-Manager-Dienst generiert, wenn Secrets Manager mit der Rotation eines Secrets beginnt. Weitere Informationen zur Rotation finden Sie unter [AWS Secrets Manager Geheimnisse rotieren](rotating-secrets.md).
**RotationAbandoned**
Wird generiert, wenn Secrets Manager einen Rotationsversuch abbricht und die `AWSPENDING`-Bezeichnung aus einer vorhandenen Version eines Secrets entfernt. Secrets Manager bricht die Rotation ab, wenn Sie während der Rotation eine neue Version eines Secrets erstellen. Weitere Informationen zur Drehung finden Sie unter [AWS Secrets Manager Geheimnisse rotieren](rotating-secrets.md).
**RotationFailed**
Wird vom Secrets-Manager-Dienst generiert, wenn die Rotation fehlschlägt. Weitere Informationen zur Rotation finden Sie unter [Fehlerbehebung bei der AWS Secrets Manager Rotation](troubleshoot_rotation.md).
**RotationSucceeded**
Wird generiert Secrets Manager ein Secret erfolgreich rotiert wurde. Weitere Informationen zur Rotation finden Sie unter [AWS Secrets Manager Geheimnisse rotieren](rotating-secrets.md).
**TestRotationStarted**
Wird generiert, wenn Secrets Manager mit dem Testen der Rotation für ein Secret beginnt, das nicht für eine sofortige Rotation geplant ist. Weitere Informationen zur Rotation finden Sie unter [AWS Secrets Manager Geheimnisse rotieren](rotating-secrets.md).
**TestRotationSucceeded**
Wird generiert, wenn Secrets Manager erfolgreich die Rotation für ein Secret testet, das nicht für eine sofortige Rotation geplant ist. Weitere Informationen zur Rotation finden Sie unter [AWS Secrets Manager Geheimnisse rotieren](rotating-secrets.md).
**TestRotationFailed**
Wird generiert, wenn Secrets Manager die Rotation für ein Secret testet, das nicht für eine sofortige Rotation geplant ist, und die Rotation fehlgeschlagen ist. Weitere Informationen zur Rotation finden Sie unter [Fehlerbehebung bei der AWS Secrets Manager Rotation](troubleshoot_rotation.md).
# Überwachen Sie AWS Secrets Manager mit Amazon CloudWatch
Mit Amazon können Sie AWS Services überwachen und Alarme erstellen CloudWatch, um Sie darüber zu informieren, wenn sich Kennzahlen ändern. CloudWatch speichert diese Statistiken 15 Monate lang, sodass Sie auf historische Informationen zugreifen und sich einen besseren Überblick über die Leistung Ihrer Webanwendung oder Ihres Dienstes verschaffen können. Denn AWS Secrets Manager Sie können die Anzahl der Geheimnisse in Ihrem Konto überwachen, einschließlich der zum Löschen markierten Geheimnisse und API-Aufrufe an Secrets Manager, einschließlich der Aufrufe, die über die Konsole getätigt wurden. Informationen zur Überwachung von Metriken finden Sie unter [Verwenden von CloudWatch Metriken](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) im *CloudWatch Benutzerhandbuch*.
**Um Secrets Manager Manager-Metriken zu finden**
1. Wählen Sie auf der CloudWatch Konsole unter **Metriken** die Option **Alle Metriken** aus.
1. Geben Sie im Feld **Metrik-Suche** Folgendes ein`secret`.
1. Gehen Sie wie folgt vor:
+ Um die Anzahl der Geheimnisse in Ihrem Konto zu überwachen, wählen Sie **AWS/SecretsManager**und wählen Sie dann aus **SecretCount**. Diese Metrik wird stündlich veröffentlicht.
+ Um API-Aufrufe an Secrets Manager zu überwachen, einschließlich der Aufrufe, die über die Konsole getätigt wurden, wählen Sie **Nutzung > Nach AWS Ressource** und wählen Sie dann die API-Aufrufe aus, die überwacht werden sollen. Eine Liste von Secrets Manager APIs finden Sie unter [Secrets Manager Manager-Operationen](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_Operations.html).
1. Gehen Sie wie folgt vor:
+ Informationen zum Erstellen eines Diagramms der Metrik finden Sie unter [Metriken grafisch darstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/graph_metrics.html) im * CloudWatch Amazon-Benutzerhandbuch*.
+ Informationen zur Erkennung von Anomalien finden Sie unter [Verwenden der CloudWatch Anomalieerkennung](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Anomaly_Detection.html) im * CloudWatch Amazon-Benutzerhandbuch*.
+ Informationen zum Abrufen von Statistiken für eine Metrik finden [Sie unter Statistiken für eine Metrik abrufen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/getting-metric-statistics.html) im * CloudWatch Amazon-Benutzerhandbuch*.
## CloudWatch Alarme
Sie können einen CloudWatch Alarm erstellen, der eine Amazon SNS SNS-Nachricht sendet, wenn sich der Wert einer Metrik ändert und der Alarm seinen Status ändert. Sie können einen Alarm für die Secrets Manager Manager-Metrik einrichten`ResourceCount`, die die Anzahl der Geheimnisse in Ihrem Konto angibt. Sie können auch Alarme für Ein Alarm überwacht eine Metrik über einen von Ihnen angegebenen Zeitraum und führt Aktionen auf der Grundlage des Werts der Metrik relativ zu einem bestimmten Schwellenwert über mehrere Zeiträume aus. Bei Alarmen werden nur Aktionen für anhaltende Statusänderungen ausgelöst. CloudWatch Alarme lösen keine Aktionen aus, nur weil sie sich in einem bestimmten Zustand befinden. Der Zustand muss sich geändert haben und für eine bestimmte Anzahl von Zeiträumen beibehalten worden sein.
Weitere Informationen finden Sie unter [Verwenden von CloudWatch Amazon-Alarmen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) und [Erstellen eines CloudWatch Alarms auf der Grundlage von Anomalieerkennung](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Create_Anomaly_Detection_Alarm.html) im *CloudWatch Benutzerhandbuch*.
Sie können auch Alarme einrichten, die auf bestimmte Grenzwerte achten und Benachrichtigungen senden oder Aktivitäten auslösen, wenn diese Grenzwerte erreicht werden. Weitere Informationen finden Sie im [ CloudWatch Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
# AWS Secrets Manager Ereignisse mit Amazon abgleichen EventBridge
In Amazon EventBridge können Sie Secrets Manager-Ereignisse anhand von CloudTrail Protokolleinträgen zuordnen. Sie können EventBridge Regeln konfigurieren, die nach diesen Ereignissen suchen, und dann neu generierte Ereignisse an ein Ziel senden, um Maßnahmen zu ergreifen. Eine Liste der CloudTrail Einträge, die Secrets Manager protokolliert, finden Sie unter[CloudTrail Einträge](cloudtrail_log_entries.md). Anweisungen zur Einrichtung EventBridge finden Sie unter [Erste Schritte EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html) im *EventBridge Benutzerhandbuch*.
## Alle Änderungen mit einem bestimmten Secret abgleichen
**Anmerkung**
Da [einige Secrets Manager-Ereignisse](cloudtrail_log_entries.md) den ARN des Secrets mit einer anderen Großschreibung zurückgeben, müssen Sie in Ereignismustern, die mit mehr als einer Aktion übereinstimmen, zur Angabe eines Secrets nach ARN möglicherweise sowohl die Schlüssel `arn` als auch `aRN` angeben. Weitere Informationen finden Sie unter [AWS re:Post](https://repost.aws/knowledge-center/secrets-manager-arn).
Das folgende Beispiel zeigt ein EventBridge Ereignismuster, das Protokolleinträgen für Änderungen an einem Geheimnis entspricht.
```
{
"source": ["aws.secretsmanager"],
"detail-type": ["AWS API Call via CloudTrail"],
"detail": {
"eventSource": ["secretsmanager.amazonaws.com"],
"eventName": ["DeleteResourcePolicy", "PutResourcePolicy", "RotateSecret", "TagResource", "UntagResource", "UpdateSecret"],
"responseElements": {
"arn": ["arn:aws:secretsmanager:us-west-2:012345678901:secret:mySecret-a1b2c3"]
}
}
}
```
## Ereignisse abgleichen, wenn ein Secret-Wert rotiert
Das folgende Beispiel zeigt ein EventBridge Ereignismuster, das CloudTrail Protokolleinträgen für Änderungen geheimer Werte entspricht, die durch manuelle Aktualisierungen oder automatische Rotation verursacht wurden. Da einige dieser Ereignisse aus Secrets-Manager-Vorgängen stammen und andere vom Secrets-Manager-Dienst generiert werden, müssen Sie den `detail-type` für beide angeben.
```
{
"source": ["aws.secretsmanager"],
"detail-type": [
"AWS API Call via CloudTrail",
"AWS Service Event via CloudTrail"
],
"detail": {
"eventSource": ["secretsmanager.amazonaws.com"],
"eventName": ["PutSecretValue", "UpdateSecret", "RotationSucceeded"]
}
}
```
# Überwachen Sie, wann auf AWS Secrets Manager Geheimnisse zugegriffen wird, die gelöscht werden sollen
Sie können eine Kombination aus Amazon CloudWatch Logs und Amazon Simple Notification Service (Amazon SNS) verwenden, um einen Alarm zu erstellen, der Sie über alle Versuche informiert, auf ein Geheimnis zuzugreifen, dessen Löschung noch aussteht. AWS CloudTrail Wenn Sie von einem solchen Alarm eine Benachrichtigung erhalten, können Sie den Löschvorgang für das Secret abbrechen, damit Sie mehr Zeit haben, um zu bestimmen, ob Sie es tatsächlich löschen möchten. Vielleicht führt Ihre Untersuchung zu einer Wiederherstellung des Secrets, da es tatsächlich noch benötigt wird. Alternativ müssen Sie den Benutzer möglicherweise mit Details des neuen zu verwendenden Secrets aktualisieren.
In den folgenden Verfahren wird erklärt, wie Sie eine Benachrichtigung erhalten, wenn eine Anfrage für den `GetSecretValue` Vorgang, der zu einer bestimmten Fehlermeldung führt, in Ihre CloudTrail Protokolldateien geschrieben wird. Andere API-Operationen können für das Geheimnis ausgeführt werden, ohne dass der Alarm ausgelöst wird. Dieser CloudWatch Alarm erkennt eine Nutzung, die darauf hindeuten könnte, dass eine Person oder Anwendung veraltete Anmeldeinformationen verwendet.
Bevor Sie mit diesen Verfahren beginnen, müssen Sie das Konto AWS-Region und das Konto aktivieren, CloudTrail in dem Sie AWS Secrets Manager API-Anfragen überwachen möchten. Weitere Informationen finden Sie unter [Erstmaliges Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) im *AWS CloudTrail -Benutzerhandbuch*.
## Schritt 1: Konfigurieren Sie die Übertragung der CloudTrail Protokolldatei in CloudWatch Logs
Sie müssen die Übermittlung Ihrer CloudTrail Protokolldateien an CloudWatch Logs konfigurieren. Sie tun dies, damit CloudWatch Logs sie auf Secrets Manager API-Anfragen zum Abrufen eines Geheimnisses hin überwachen kann, dessen Löschung noch aussteht.
**Um die Übertragung von CloudTrail Protokolldateien an CloudWatch Logs zu konfigurieren**
1. Öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie in der oberen Navigationsleiste die Option AWS-Region zum Überwachen von Geheimnissen aus.
1. Wählen Sie im linken Navigationsbereich **Trails** und dann den Namen des Trails aus, für den Sie die Konfiguration vornehmen möchten CloudWatch.
1. Scrollen Sie auf der Seite „**Trails-Konfiguration**“ nach unten zum Abschnitt „**CloudWatch Logs**“ und wählen Sie dann das Bearbeitungssymbol (![\[Remote control icon with power, volume, and channel buttons.\]](http://docs.aws.amazon.com/de_de/secretsmanager/latest/userguide/images/edit-pencil-icon.png)).
1. Geben Sie in **New or existing log group (Neue oder vorhandene Gruppe)** den Namen der Protokollgruppe ein, z. B. **CloudTrail/MyCloudWatchLogGroup**.
1. Für die **IAM-Rolle** können Sie die Standardrolle mit dem Namen **CloudTrail\$1 CloudWatchLogs \$1Role** verwenden. Diese Rolle hat eine Standardrollenrichtlinie mit den erforderlichen Berechtigungen, um CloudTrail Ereignisse an die Protokollgruppe zu übermitteln.
1. Wählen Sie **Continue** (Weiter) aus, um die Konfigurationseinstellungen zu speichern.
1. Wählen **AWS CloudTrail Sie auf der Gruppenseite CloudTrail Ereignisse im Zusammenhang mit API-Aktivitäten in Ihrem Konto an Ihre Protokollgruppe „ CloudWatch Logs**“ übertragen die Option **Zulassen** aus.
## Schritt 2: Erstellen Sie den CloudWatch Alarm
Um eine Benachrichtigung zu erhalten, wenn ein Secrets Manager `GetSecretValue` API-Vorgang den Zugriff auf ein Geheimnis anfordert, dessen Löschung noch aussteht, müssen Sie einen CloudWatch Alarm erstellen und eine Benachrichtigung konfigurieren.
**Um einen CloudWatch Alarm zu erstellen**
1. Melden Sie sich bei der CloudWatch Konsole an unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Wählen Sie in der oberen Navigationsleiste die AWS Region aus, in der Sie geheime Daten überwachen möchten.
1. Wählen Sie im linken Navigationsbereich **Protokolle** aus.
1. Aktivieren Sie in der Liste der **Protokollgruppen** das Kontrollkästchen neben der Protokollgruppe, die Sie im vorherigen Verfahren erstellt haben, z. B. **CloudTrail/MyCloudWatchLogGroup**. Wählen Sie anschließend ** Metrikfilter erstellen**.
1. Geben Sie beim **Filtermuster** Folgendes an:
```
{ $.eventName = "GetSecretValue" && $.errorMessage = "*secret because it was marked for deletion*" }
```
Wählen Sie **Assign Metric**.
1. Gehen Sie auf der Seite **Metrikfilter erstellen und eine Metrik zuweisen** folgendermaßen vor:
1. Geben Sie für **Namespace der Metrik** den Wert **CloudTrailLogMetrics** ein.
1. Geben Sie für **Metrikname** den Wert **AttemptsToAccessDeletedSecrets** ein.
1. Wählen Sie **Erweiterte Metrikeinstellungen anzeigen** und geben Sie dann ggf. für **Metrikwert** **1** ein.
1. Wählen Sie **Filter erstellen**.
1. Wählen Sie im Filterfeld **Alarm erstellen**.
1. Führen Sie im Fenster **Alarm erstellen** die folgenden Schritte aus:
1. Geben Sie bei **Name** **AttemptsToAccessDeletedSecretsAlarm** ein.
1. **Whenever (Immer wenn):** Wählen Sie für **is: (ist:)** **>=** aus und geben Sie **1** ein.
1. Gehen Sie neben **Benachrichtigung senden an:** folgendermaßen vor:
+ Wählen Sie **New List (Neue Liste)** aus, um ein neues Amazon-SNS-Thema zu erstellen und zu verwenden und geben Sie dann einen neuen Namen für das Thema ein. Geben Sie unter **E-Mail-Liste:** mindestens eine E-Mail-Adresse ein. Sie können mehrere, durch Komma abgetrennte E-Mail-Adressen eingeben.
+ Wenn Sie ein vorhandenes Amazon-SNS-Thema verwenden möchten, wählen Sie den Namen des Themas. Wenn keine Liste vorhanden ist, wählen Sie **Select list (Liste auswählen)**.
1. Wählen Sie **Alarm erstellen** aus.
## Schritt 3: Testen Sie den CloudWatch Alarm
Um Ihren Alarm zu testen, erstellen Sie ein Geheimnis und planen Sie es dann zum Löschen ein. Versuchen Sie dann, den Secret-Wert abzurufen. Sie erhalten in Kürze eine E-Mail unter der im Alarm konfigurierten Adresse. Darin werden Sie über die Verwendung eines Gehemnisses benachrichtigt, deren Löschung geplant ist.
# Überwachen Sie AWS Secrets Manager Geheimnisse auf Einhaltung der Vorschriften, indem Sie AWS Config
Sie können sie verwenden AWS Config , um Ihre Geheimnisse daraufhin zu überprüfen, ob sie Ihren Standards entsprechen. Sie definieren Ihre internen Sicherheits- und Compliance-Anforderungen für Geheimnisse mithilfe von AWS Config Regeln. Dann AWS Config können Sie Geheimnisse identifizieren, die nicht Ihren Regeln entsprechen. Sie können auch Änderungen an geheimen Metadaten, der [Rotationskonfiguration](find-secrets-not-rotating.md), dem für die geheime Verschlüsselung verwendeten KMS-Schlüssel, der Lambda-Rotationsfunktion und den mit einem Geheimnis verknüpften Tags verfolgen.
Sie können so konfigurieren AWS Config , dass Sie über Änderungen informiert werden. Weitere Informationen finden Sie unter [Benachrichtigungen, die AWS Config an ein Amazon SNS SNS-Thema gesendet](https://docs.aws.amazon.com/config/latest/developerguide/notifications-for-AWS-Config.html) werden.
Wenn Sie in mehreren Unternehmen AWS-Konten und AWS-Regionen in Ihrer Organisation über geheime Daten verfügen, können Sie diese Konfigurations- und Compliance-Daten zusammenfassen. Weitere Informationen finden Sie unter [Datenaggregation für mehrere Konten und mehrere Regionen](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html).
**Um zu beurteilen, ob geheime Daten den Vorschriften entsprechen**
+ Folgen Sie den Anweisungen zur [Bewertung Ihrer Ressourcen mithilfe von AWS Config Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluating-your-resources.html) und wählen Sie eine der folgenden Regeln aus:
+ `[secretsmanager-secret-unused](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)` – Prüft, ob innerhalb der letzten angegebenen Anzahl von Tagen auf Secrets zugegriffen wurde.
+ `[secretsmanager-using-cmk](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-using-cmk.html)`— Prüft, ob Geheimnisse mit dem Von AWS verwalteter Schlüssel `aws/secretsmanager` oder einem vom Kunden verwalteten Schlüssel, in dem Sie sie erstellt haben, verschlüsselt sind AWS KMS.
+ `[secretsmanager-rotation-enabled-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)` – Prüft, ob die Rotation für in Secrets Manager gespeicherte Secrets konfiguriert ist.
+ `[secretsmanager-scheduled-rotation-success-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)` – Prüft, ob die letzte erfolgreiche Rotation innerhalb der konfigurierten Rotationsfrequenz liegt. Die Überprüfung muss mindestens täglich erfolgen.
+ `[secretsmanager-secret-periodic-rotation](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)` – Prüft, ob Secrets innerhalb der letzten angegebenen Anzahl von Tagen rotiert wurden.
# Secrets Manager Manager-Kosten überwachen
Sie können Amazon verwenden CloudWatch , um die geschätzten AWS Secrets Manager Gebühren zu überwachen. Weitere Informationen finden Sie im *CloudWatch Benutzerhandbuch* unter [Erstellen eines Abrechnungsalarms zur Überwachung Ihrer geschätzten AWS Gebühren](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/monitor_estimated_charges_with_cloudwatch.html).
Eine weitere Option zur Überwachung Ihrer Kosten ist die Erkennung von AWS Kostenanomalien. Weitere Informationen finden Sie unter [Erkennung ungewöhnlicher Ausgaben mithilfe der Erkennung von AWS Kostenanomalien](https://docs.aws.amazon.com/cost-management/latest/userguide/manage-ad.html) im *AWS Cost Management-Benutzerhandbuch*.
Hinweise zur Überwachung Ihrer Secrets Manager Manager-Nutzung finden Sie unter [Überwachen Sie AWS Secrets Manager mit Amazon CloudWatch](monitoring-cloudwatch.md) und[AWS Secrets Manager Ereignisse protokollieren mit AWS CloudTrail](monitoring-cloudtrail.md).
Informationen zur AWS Secrets Manager Preisgestaltung finden Sie unter[Preisgestaltung](intro.md#asm_pricing).
# Erkennen Sie Bedrohungen mit Amazon GuardDuty
Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihnen hilft, Ihre Konten, Container, Workloads und die Daten in Ihrer AWS Umgebung zu schützen. Mithilfe von Modellen für maschinelles Lernen (ML) und Funktionen zur Erkennung von Anomalien und Bedrohungen werden GuardDuty kontinuierlich verschiedene Protokollquellen überwacht, um potenzielle Sicherheitsrisiken und böswillige Aktivitäten in Ihrer Umgebung zu identifizieren und zu priorisieren. Erkennt beispielsweise potenzielle Bedrohungen wie ungewöhnlichen oder verdächtigen Zugriff auf geheime Daten und die Exfiltration von Anmeldedaten, falls Anmeldeinformationen erkannt GuardDuty werden, die ausschließlich für eine EC2 Amazon-Instance über eine Instance-Startrolle erstellt wurden, aber von einem anderen Konto innerhalb verwendet werden. AWS Weitere Informationen finden Sie im [ GuardDuty Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html).
Ein weiteres Anwendungsbeispiel für die Erkennung ist anomales Verhalten. Wenn beispielsweise AWS Secrets Manager normalerweise,, und `list-secrets` Aufrufe von einer Entität abgerufen `create-secret` werden `get-secret-value``describe-secret`, die das Java-SDK verwendet, und dann eine andere Entität beginnt, das AWS CLI von außerhalb des VPN aufzurufen `batch-get-secret-value` und zu `get-secret-value` verwenden, GuardDuty kann dies einen Befund melden, dass die zweite Entität ungewöhnlich aufruft. APIs Weitere Informationen finden Sie unter [GuardDuty IAM-Suchtyp](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#credentialaccess-iam-anomalousbehavior):/. CredentialAccess IAMUser AnomalousBehavior