Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Almacenar las credenciales de PagerDuty acceso en AWS Secrets Manager secreto
Tras activar la integración con un plan PagerDuty de respuesta, Incident Manager trabaja con él PagerDuty de las siguientes maneras:
-
Incident Manager crea el incidente correspondiente PagerDuty cuando se crea un nuevo incidente en Incident Manager.
-
El flujo de trabajo de paginación y las políticas de escalamiento que creó se PagerDuty utilizan en el PagerDuty entorno. Sin embargo, Incident Manager no importa la PagerDuty configuración.
-
Incident Manager publica los eventos de la cronología como notas del incidente PagerDuty, con un máximo de 2000 notas.
-
Puede optar por resolver automáticamente PagerDuty los incidentes al resolver el incidente relacionado en Incident Manager.
Para integrar Incident Manager con PagerDuty, primero debe crear una entrada secreta AWS Secrets Manager que contenga sus PagerDuty credenciales. Estas permiten a Incident Manager comunicarse con su PagerDuty servicio. A continuación, puede incluir un PagerDuty servicio en los planes de respuesta que cree en Incident Manager.
El secreto que cree en Secrets Manager debe contener, en el JSON formato adecuado, lo siguiente:
-
Una API clave de tu PagerDuty cuenta. Puede utilizar una clave de acceso general o una REST API REST API clave simbólica de usuario.
-
Una dirección de correo electrónico de usuario válida de tu PagerDuty subdominio.
-
La región PagerDuty de servicio en la que implementaste tu subdominio.
nota
Todos los servicios de un PagerDuty subdominio se implementan en la misma región de servicio.
Requisitos previos
Antes de crear el secreto en el Administrador de secretos, asegúrese de satisfacer los siguientes requisitos.
- KMSclave
-
Debe cifrar el secreto que cree con una clave gestionada por el cliente que haya creado en AWS Key Management Service (AWS KMS). Debe especificar esta clave al crear el secreto que almacena PagerDuty sus credenciales.
importante
Secrets Manager ofrece la opción de cifrar el secreto con un Clave administrada de AWS, pero este modo de cifrado no es compatible.
La clave administrada por el cliente debe cumplir los siguientes requisitos:
-
Tipo de clave: elija Simétrica.
-
Uso de la clave: elija Cifrado y descifrado.
-
Regionalidad: si desea replicar su plan de respuesta en varias Regiones de AWS, asegúrese de seleccionar la clave multirregional.
Política de claves
El usuario que configure el plan de respuesta debe tener permiso para
kms:GenerateDataKey
ykms:Decrypt
en la política basada en recursos de la clave. La entidad principal del serviciossm-incidents.amazonaws.com
debe tener permiso parakms:GenerateDataKey
ykms:Decrypt
en la política basada en recursos de la clave.La siguiente política demuestra estos permisos. Sustituya cada una
user input placeholder
con tu propia información.{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Enable IAM user permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
account-id
:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow creator of response plan to use the key", "Effect": "Allow", "Principal": { "AWS": "IAM_ARN_of_principal_creating_response_plan
" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*" }, { "Sid": "Allow Incident Manager to use the key", "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*" } ] }Para obtener información sobre cómo crear una nueva clave gestionada por el cliente, consulte Creación de KMS claves de cifrado simétricas en la Guía para AWS Key Management Service desarrolladores. Para obtener más información sobre AWS KMS las claves, consulte AWS KMS conceptos.
Si una clave administrada por el cliente existente cumple todos los requisitos anteriores, puede editar su política para añadir estos permisos. Para obtener información sobre la actualización de la política de una clave administrada por el cliente, consulte Modificación de una política de clave en la Guía para desarrolladores de AWS Key Management Service .
sugerencia
Puede especificar una clave de condición para limitar aún más el acceso. Por ejemplo, la siguiente política permite el acceso a través del Administrador de secretos solo en la región este de EE. UU. (Ohio) (us-east-2):
{ "Sid": "Enable IM Permissions", "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": ["kms:Decrypt", "kms:GenerateDataKey*"], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com" } } }
-
- Permiso
GetSecretValue
-
La IAM identidad (usuario, rol o grupo) que crea el plan de respuesta debe tener el IAM permiso
secretsmanager:GetSecretValue
.
Para almacenar las credenciales de PagerDuty acceso en AWS Secrets Manager secreto
-
Siga los pasos del paso 3a de la sección Crear un AWS Secrets Manager secreto de la Guía del AWS Secrets Manager usuario.
-
En el paso 3b, en Pares clave/valor, haga lo siguiente:
-
Elija la pestaña Texto sin formato.
-
Sustituya el contenido predeterminado de la caja por la siguiente JSON estructura:
{ "pagerDutyToken": "
pagerduty-token
", "pagerDutyServiceRegion": "pagerduty-region
", "pagerDutyFromEmail": "pagerduty-email
" } -
En el JSON ejemplo que ha pegado, sustituya el
placeholder values
de la siguiente manera:-
pagerduty-token
: El valor de una clave de acceso general o una REST API REST API clave simbólica de usuario de su PagerDuty cuenta.Para obtener información relacionada, consulte las claves de API acceso
en la base de PagerDuty conocimientos. -
pagerduty-region
: la región de servicio del centro de PagerDuty datos que aloja su PagerDuty subdominio.Para obtener información relacionada, consulte las regiones de servicio
en la base de PagerDuty conocimientos. -
pagerduty-email
: la dirección de correo electrónico válida de un usuario que pertenece a su PagerDuty subdominio.Para obtener información relacionada, consulte Administrar usuarios
en la base de PagerDuty conocimientos.
El siguiente ejemplo muestra un JSON secreto completo que contiene las PagerDuty credenciales necesarias:
{ "pagerDutyToken": "
y_NbAkKc66ryYEXAMPLE
", "pagerDutyServiceRegion": "US
", "pagerDutyFromEmail": "JohnDoe@example.com
" } -
-
-
En el paso 3c, en Clave de cifrado, elija una clave administrada por el cliente que haya creado y que cumpla los requisitos enumerados en la sección Requisitos previos anterior.
-
En el paso 4c, en Permisos de recursos, haga lo siguiente:
-
Expanda Permisos de recursos.
-
Elija Editar permisos.
-
Sustituya el contenido predeterminado del cuadro de políticas por la siguiente JSON estructura:
{ "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" }
-
Seleccione Guardar.
-
-
En el paso 4d, en Replicar secreto, haga lo siguiente si ha replicado su plan de respuesta a más de una Región de AWS:
-
Expanda Replicar secreto.
-
En Región de AWS, seleccione la región a la que replicó su plan de respuesta.
-
En Clave de cifrado, elija una clave administrada por el cliente que haya creado en esta región o haya replicado a la misma y que cumpla los requisitos enumerados en la sección Requisitos previos.
-
Para cada uno de los adicionales Región de AWS, elija Añadir región y seleccione el nombre de la región y la clave gestionada por el cliente.
-
-
Complete los pasos restantes de Crear un AWS Secrets Manager secreto en la Guía del AWS Secrets Manager usuario.
Para obtener información sobre cómo agregar un PagerDuty servicio al flujo de trabajo de incidentes de Incident Manager, consulte Integrar un PagerDuty servicio en el plan de respuesta en el temaCreación de un plan de respuesta.
Información relacionada
Cómo automatizar la respuesta a los incidentes con PagerDuty y AWS Systems Manager Incident Manager
Cifrado de secretos en AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager