Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Supervise AWS Secrets Manager los secretos
AWS proporciona herramientas de supervisión para ver los secretos de Secrets Manager, informar cuando algo va mal y tomar medidas automáticas cuando sea necesario. Puede utilizar los registros si necesita investigar cualquier uso o cambio inesperado para luego poder revertir los cambios no deseados. También puede establecer verificaciones automatizadas para el uso inadecuado de los secretos y cualquier intento de eliminarlos.
**Topics**
+ [Inicia sesión con AWS CloudTrail](monitoring-cloudtrail.md)
+ [Supervise con CloudWatch](monitoring-cloudwatch.md)
+ [Combina los eventos de Secrets Manager con EventBridge](monitoring-eventbridge.md)
+ [Monitoreo de secretos programados para su eliminación](monitoring_cloudwatch_deleted-secrets.md)
+ [Supervisión de secretos para la conformidad](configuring-awsconfig-rules.md)
+ [Monitoreo de los costos de Secrets Manager](monitor-secretsmanager-costs.md)
+ [Detecte amenazas con GuardDuty](monitoring-guardduty.md)
# AWS Secrets Manager Registra eventos con AWS CloudTrail
AWS CloudTrail registra todas las llamadas a la API de Secrets Manager como eventos, incluidas las llamadas desde la consola de Secrets Manager, así como varios otros eventos para la rotación y la eliminación de versiones secretas. Para obtener una lista de las entradas de registro de los registros en Secrets Manager, consulte [CloudTrail entradas](cloudtrail_log_entries.md).
Puede usar la CloudTrail consola para ver los eventos registrados en los últimos 90 días. Para tener un registro continuo de los eventos de su AWS cuenta, incluidos los eventos de Secrets Manager, cree un registro que CloudTrail entregue los archivos de registro a un bucket de Amazon S3. Consulte [Crear un registro para su AWS cuenta](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html). También puede configurarlo CloudTrail para recibir archivos de CloudTrail registro de [varios Cuentas de AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) y [Regiones de AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html).
Puede configurar otros AWS servicios para analizar más a fondo los datos recopilados en los CloudTrail registros y actuar en función de ellos. Consulte las [integraciones de AWS servicios con CloudTrail registros](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations). También puede recibir notificaciones cuando CloudTrail publique nuevos archivos de registro en su bucket de Amazon S3. Consulte [Configuración de las notificaciones de Amazon SNS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html) para. CloudTrail
**Para recuperar los eventos de Secrets Manager de CloudTrail los registros (consola)**
1. Abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Asegúrese de que la consola apunta a la región en la que se han producido los eventos. La consola muestra únicamente aquellos eventos que se han producido en la región seleccionada. Elija la región en la lista desplegable en la esquina superior derecha de la consola.
1. En el panel de navegación de la izquierda, elija **Event history (Historial de eventos)**.
1. Elige los criterios de **filtrado** y and/or un **rango de tiempo** para ayudarte a encontrar el evento que estás buscando. Por ejemplo:
1. Para ver todos los eventos de Secrets Manager, para **Atributos de búsqueda**, elija **Origen del evento**. A continuación, para **Enter event source** (Escribir origen del evento), elija **secretsmanager.amazonaws.com**.
1. Para ver todos los eventos de un secreto, en **Atributos de búsqueda**, elija **Nombre del recurso**. A continuación, en **Introducir un nombre de recurso**, introduzca el nombre del secreto.
1. Para ver otros detalles, elija la flecha de expansión situada junto al evento. Para ver toda la información disponible, elija **View event (Ver evento)**.
## AWS CLI
**Example Recupera eventos de Secrets Manager de CloudTrail los registros**
En el siguiente ejemplo de [https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html) se buscan eventos de Secrets Manager.
```
aws cloudtrail lookup-events \
--region us-east-1 \
--lookup-attributes AttributeKey=EventSource,AttributeValue=secretsmanager.amazonaws.com
```
# AWS CloudTrail entradas para Secrets Manager
AWS Secrets Manager escribe entradas en su AWS CloudTrail registro para todas las operaciones de Secrets Manager y para otros eventos relacionados con la rotación y la eliminación. Para obtener información acerca de cómo tomar medidas sobre estos eventos, consulte [Combina los eventos de Secrets Manager con EventBridge](monitoring-eventbridge.md).
**Topics**
+ [Entradas de registro para las operaciones de Secrets Manager](#cloudtrail_log_entries_operations)
+ [Entradas de registro para la eliminación](#cloudtrail_log_entries_deletion)
+ [Entradas de registro para replicación](#cloudtrail_log_entries_replication)
+ [Entradas de registro para la rotación](#cloudtrail_log_entries_rotation)
## Entradas de registro para las operaciones de Secrets Manager
Los eventos que se generan mediante llamadas a las operaciones de Secrets Manager tienen `"detail-type": ["AWS API Call via CloudTrail"]`.
**nota**
Antes de febrero de 2024, algunas operaciones de Secrets Manager informaron eventos que contenían “aRN” en lugar de “arn” en el ARN secreto. Para obtener más información, consulte [AWS re:Post](https://repost.aws/knowledge-center/secrets-manager-arn).
Las siguientes son CloudTrail entradas generadas cuando usted o un servicio llaman a las operaciones de Secrets Manager a través de la API, el SDK o la CLI.
**BatchGetSecretValue**
Generadas por la [BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html)operación. Para obtener información sobre cómo recuperar secretos, consulte [Obtenga secretos de AWS Secrets Manager](retrieving-secrets.md).
**CancelRotateSecret**
Generado por la [CancelRotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CancelRotateSecret.html)operación. Para obtener información acerca de la rotación, consulte [Rota AWS Secrets Manager los secretos](rotating-secrets.md).
**CreateSecret**
Generado por la [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)operación. Para obtener información sobre cómo crear secretos, consulte [Gestiona tus secretos con AWS Secrets Manager](managing-secrets.md).
**DeleteResourcePolicy**
Generado por la [DeleteResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteResourcePolicy.html)operación. Para obtener información acerca de los permisos, consulte [Autenticación y control de acceso para AWS Secrets Manager](auth-and-access.md).
**DeleteSecret**
Generado por la [DeleteSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteSecret.html)operación. Para obtener información sobre la eliminación de secretos, consulte [Eliminar un AWS Secrets Manager secreto](manage_delete-secret.md).
**DescribeSecret**
Generado por la [DescribeSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html)operación.
**GetRandomPassword**
Generado por la [GetRandomPassword](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetRandomPassword.html)operación.
**GetResourcePolicy**
Generado por la [GetResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html)operación. Para obtener información acerca de los permisos, consulte [Autenticación y control de acceso para AWS Secrets Manager](auth-and-access.md).
**GetSecretValue**
Generado por las [BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html)operaciones [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html)y. Para obtener información sobre cómo recuperar secretos, consulte [Obtenga secretos de AWS Secrets Manager](retrieving-secrets.md).
**ListSecrets**
Generado por la [ListSecrets](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecrets.html)operación. Para obtener información sobre cómo enumerar secretos, consulte [Encuentra secretos en AWS Secrets Manager](manage_search-secret.md).
**ListSecretVersionIds**
Generado por la [ListSecretVersionIds](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecretVersionIds.html)operación.
**PutResourcePolicy**
Generado por la [PutResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html)operación. Para obtener información acerca de los permisos, consulte [Autenticación y control de acceso para AWS Secrets Manager](auth-and-access.md).
**PutSecretValue**
Generado por la [PutSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutSecretValue.html)operación. Para obtener información sobre la actualización de un secreto, consulte [Modificar un AWS Secrets Manager secreto](manage_update-secret.md).
**RemoveRegionsFromReplication**
Generado por la [RemoveRegionsFromReplication](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RemoveRegionsFromReplication.html)operación. Para obtener información acerca de un secreto, consulte [Replica AWS Secrets Manager secretos en todas las regiones](replicate-secrets.md).
**ReplicateSecretToRegions**
Generado por la [ReplicateSecretToRegions](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html)operación. Para obtener información acerca de un secreto, consulte [Replica AWS Secrets Manager secretos en todas las regiones](replicate-secrets.md).
**RestoreSecret**
Generado por la [RestoreSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RestoreSecret.html)operación. Para obtener información sobre cómo restaurar un secreto eliminado, consulte [Restaura un AWS Secrets Manager secreto](manage_restore-secret.md).
**RotateSecret**
Generado por la [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)operación. Para obtener información acerca de la rotación, consulte [Rota AWS Secrets Manager los secretos](rotating-secrets.md).
**StopReplicationToReplica**
Generado por la [StopReplicationToReplica](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html)operación. Para obtener información acerca de un secreto, consulte [Replica AWS Secrets Manager secretos en todas las regiones](replicate-secrets.md).
**TagResource**
Generado por la [TagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_TagResource.html)operación. Para obtener más información acerca del etiquetado de un secreto, consulte [Etiquetar secretos en AWS Secrets Manager](managing-secrets_tagging.md).
**UntagResource**
Generado por la [UntagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UntagResource.html)operación. Para obtener más información acerca de quitar las etiquetas de un secreto, consulte [Etiquetar secretos en AWS Secrets Manager](managing-secrets_tagging.md).
**UpdateSecret**
Generado por la [UpdateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecret.html)operación. Para obtener información sobre la actualización de un secreto, consulte [Modificar un AWS Secrets Manager secreto](manage_update-secret.md).
**UpdateSecretVersionStage**
Generado por la [UpdateSecretVersionStage](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecretVersionStage.html)operación. Para obtener información sobre las fases de versiones, consulte [Versiones de un secreto](whats-in-a-secret.md#term_version).
**ValidateResourcePolicy**
Generado por la [ValidateResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ValidateResourcePolicy.html)operación. Para obtener información acerca de los permisos, consulte [Autenticación y control de acceso para AWS Secrets Manager](auth-and-access.md).
## Entradas de registro para la eliminación
Además de los eventos para las operaciones de Secrets Manager, Secrets Manager genera los siguientes eventos relacionados con la eliminación. Estos eventos tienen `"detail-type": ["AWS Service Event via CloudTrail"]`.
**CancelSecretVersionDelete**
Generado por el servicio de Secrets Manager. Si llama `DeleteSecret` en un secreto que tenga versiones, y luego llame a `RestoreSecret`, Secrets Manager registra este evento para cada versión secreta que se ha restaurado. Para obtener información sobre cómo restaurar un secreto eliminado, consulte [Restaura un AWS Secrets Manager secreto](manage_restore-secret.md).
**EndSecretVersionDelete**
Generado por el servicio de Secrets Manager cuando se elimina una versión secreta. Para obtener más información, consulte [Eliminar un AWS Secrets Manager secreto](manage_delete-secret.md).
**StartSecretVersionDelete**
Generado por el servicio de Secrets Manager cuando inicia la eliminación de una versión secreta. Para obtener información sobre la eliminación de secretos, consulte [Eliminar un AWS Secrets Manager secreto](manage_delete-secret.md).
**SecretVersionDeletion**
Generado por el servicio de Secrets Manager cuando este elimina una versión obsoleta del secreto. Para obtener más información, consulte [Versiones del secreto](whats-in-a-secret.md#term_version).
## Entradas de registro para replicación
Además de los eventos para las operaciones de Secrets Manager, Secrets Manager genera los siguientes eventos relacionados con la replicación. Estos eventos tienen `"detail-type": ["AWS Service Event via CloudTrail"]`.
**ReplicationFailed**
Generado por el servicio de Secrets Manager cuando se produce un error en la replicación. Para obtener información acerca de un secreto, consulte [Replica AWS Secrets Manager secretos en todas las regiones](replicate-secrets.md).
**ReplicationStarted**
Generado por el servicio de Secrets Manager cuando Secrets Manager inicia la replicación de un secreto. Para obtener información acerca de un secreto, consulte [Replica AWS Secrets Manager secretos en todas las regiones](replicate-secrets.md).
**ReplicationSucceeded**
Generado por el servicio de Secrets Manager cuando un secreto se replica correctamente. Para obtener información acerca de un secreto, consulte [Replica AWS Secrets Manager secretos en todas las regiones](replicate-secrets.md).
## Entradas de registro para la rotación
Además de los eventos para las operaciones de Secrets Manager, Secrets Manager genera los siguientes eventos relacionados con la rotación. Estos eventos tienen `"detail-type": ["AWS Service Event via CloudTrail"]`.
**RotationStarted**
Generado por el servicio de Secrets Manager cuando inicia la rotación de un secreto. Para obtener información acerca de la rotación, consulte [Rota AWS Secrets Manager los secretos](rotating-secrets.md).
**RotationAbandoned**
Generado por el servicio de Secrets Manager cuando abandona un intento de rotación y elimina la etiqueta `AWSPENDING` de una versión existente de un secreto. Secrets Manager abandona la rotación cuando se crea una nueva versión de un secreto durante la rotación. Para obtener información acerca de la rotación, consulte [Rota AWS Secrets Manager los secretos](rotating-secrets.md).
**RotationFailed**
Generado por el servicio de Secrets Manager cuando se produce un error en la rotación. Para obtener información acerca de la rotación, consulte [Solucionar problemas de rotación AWS Secrets Manager](troubleshoot_rotation.md).
**RotationSucceeded**
Generado por el servicio de Secrets Manager cuando un secreto se rota correctamente. Para obtener información acerca de la rotación, consulte [Rota AWS Secrets Manager los secretos](rotating-secrets.md).
**TestRotationStarted**
Generado por el servicio de Secrets Manager cuando comienza a probar la rotación de un secreto que no está programado para la rotación inmediata. Para obtener información acerca de la rotación, consulte [Rota AWS Secrets Manager los secretos](rotating-secrets.md).
**TestRotationSucceeded**
Generado por el servicio de Secrets Manager cuando prueba, de forma exitosa, la rotación de un secreto que no está programado para la rotación inmediata. Para obtener información acerca de la rotación, consulte [Rota AWS Secrets Manager los secretos](rotating-secrets.md).
**TestRotationFailed**
Generado por el servicio de Secrets Manager cuando prueba la rotación de un secreto que no está programado para la rotación inmediata y se produce un error en la rotación. Para obtener información acerca de la rotación, consulte [Solucionar problemas de rotación AWS Secrets Manager](troubleshoot_rotation.md).
# Monitoriza AWS Secrets Manager con Amazon CloudWatch
Con Amazon CloudWatch, puedes monitorear AWS los servicios y crear alarmas que te avisen cuando cambien las métricas. CloudWatch guarda estas estadísticas durante 15 meses, para que puedas acceder a la información histórica y obtener una mejor perspectiva del rendimiento de tu aplicación o servicio web. Pues AWS Secrets Manager, puedes controlar la cantidad de secretos de tu cuenta, incluidos los secretos marcados para su eliminación, y las llamadas a la API a Secrets Manager, incluidas las llamadas realizadas a través de la consola. Para obtener información sobre cómo supervisar las métricas, consulte [Uso de CloudWatch métricas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) en la *Guía del CloudWatch usuario*.
**Buscar métricas de Secrets Manager**
1. En la CloudWatch consola, en **Métricas**, selecciona **Todas las métricas**.
1. En el cuadro de búsqueda de **Métricas**, escriba `secret`.
1. Haga lo siguiente:
+ Para controlar la cantidad de datos secretos de tu cuenta, selecciona **AWS/**ySecretsManager, a continuación, selecciona **SecretCount**. Esta métrica se publica cada hora.
+ Para supervisar las llamadas de API a Secrets Manager, incluidas las llamadas realizadas a través de la consola, selecciona **Uso > Por AWS recurso** y, a continuación, selecciona las llamadas a la API que deseas supervisar. Para obtener una lista de Secrets Manager APIs, consulte [las operaciones de Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_Operations.html).
1. Haga lo siguiente:
+ Para crear un gráfico de la métrica, consulta Cómo [graficar métricas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/graph_metrics.html) en la *Guía del CloudWatch usuario de Amazon*.
+ Para detectar anomalías, consulte [Uso de la detección de CloudWatch anomalías](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Anomaly_Detection.html) en la Guía del usuario de *Amazon CloudWatch *.
+ Para obtener estadísticas de una métrica, consulta [Obtener estadísticas de una métrica](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/getting-metric-statistics.html) en la *Guía del CloudWatch usuario de Amazon*.
## CloudWatch alarmas
Puede crear una CloudWatch alarma que envíe un mensaje de Amazon SNS cuando el valor de una métrica cambie y haga que la alarma cambie de estado. Puede configurar una alarma en la métrica `ResourceCount` de Secrets Manager, que es el número de secretos de su cuenta. También puede configurar alarmas que vigilen una métrica durante el periodo especificado y realicen acciones en función del valor de la métrica relativo a un determinado umbral durante una serie de periodos de tiempo. Las alarmas invocan acciones únicamente en caso de cambios de estado sostenidos. CloudWatch las alarmas no invocan acciones simplemente porque se encuentran en un estado determinado; el estado debe haber cambiado y mantenido durante un número específico de períodos.
Para obtener más información, consulte [Uso de CloudWatch alarmas de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) y [Creación de una CloudWatch alarma basada en la detección de anomalías](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Create_Anomaly_Detection_Alarm.html) en la *Guía del CloudWatch usuario*.
También puede establecer alarmas que vigilen determinados umbrales y enviar notificaciones o realizar acciones cuando se cumplan dichos umbrales. Para obtener más información, consulta la [Guía del CloudWatch usuario de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
# Combina AWS Secrets Manager eventos con Amazon EventBridge
En Amazon EventBridge, puedes hacer coincidir los eventos de Secrets Manager con las entradas de CloudTrail registro. Puede configurar EventBridge reglas que busquen estos eventos y, a continuación, envíen los nuevos eventos generados a un objetivo para que tome medidas. Para obtener una lista de CloudTrail las entradas que Secrets Manager registra, consulte[CloudTrail entradas](cloudtrail_log_entries.md). Para obtener instrucciones de configuración EventBridge, consulte [Primeros pasos EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html) en la *Guía del EventBridge usuario*.
## Combinación de todos los cambios con un secreto especificado
**nota**
Dado que [algunos eventos de Secrets Manager](cloudtrail_log_entries.md) devuelven el ARN del secreto con mayúsculas diferentes, en los patrones de eventos que coinciden con más de una acción, para especificar un secreto a través de ARN, es posible que tenga que incluir tanto las claves `arn` como `aRN`. Para obtener más información, consulte [AWS re:Post](https://repost.aws/knowledge-center/secrets-manager-arn).
El siguiente ejemplo muestra un patrón de EventBridge eventos que coincide con las entradas de registro para los cambios en un secreto.
```
{
"source": ["aws.secretsmanager"],
"detail-type": ["AWS API Call via CloudTrail"],
"detail": {
"eventSource": ["secretsmanager.amazonaws.com"],
"eventName": ["DeleteResourcePolicy", "PutResourcePolicy", "RotateSecret", "TagResource", "UntagResource", "UpdateSecret"],
"responseElements": {
"arn": ["arn:aws:secretsmanager:us-west-2:012345678901:secret:mySecret-a1b2c3"]
}
}
}
```
## Combinación de los eventos cuando rota un valor secreto
En el siguiente ejemplo, se muestra un patrón de EventBridge eventos que coincide con las entradas del CloudTrail registro para los cambios en los valores secretos que se producen como consecuencia de actualizaciones manuales o rotaciones automáticas. Como algunos de estos eventos provienen de las operaciones de Secrets Manager y otros están generados por el servicio de Secrets Manager, debe incluir `detail-type` para ambos.
```
{
"source": ["aws.secretsmanager"],
"detail-type": [
"AWS API Call via CloudTrail",
"AWS Service Event via CloudTrail"
],
"detail": {
"eventSource": ["secretsmanager.amazonaws.com"],
"eventName": ["PutSecretValue", "UpdateSecret", "RotationSucceeded"]
}
}
```
# Supervise cuándo se accede a los AWS Secrets Manager secretos cuya eliminación está programada
Puedes usar una combinación de AWS CloudTrail Amazon CloudWatch Logs y Amazon Simple Notification Service (Amazon SNS) para crear una alarma que te notifique cualquier intento de acceso a un secreto pendiente de eliminación. Si recibe una notificación de una alarma de este tipo, es posible que prefiera cancelar la eliminación del secreto para disponer de más tiempo y poder determinar si realmente desea eliminarlo. Es posible que finalmente el secreto se restaure porque siga siendo necesario. Por otro lado, también es posible que necesite actualizar el usuario con los detalles del nuevo secreto que desee usar.
Los siguientes procedimientos explican cómo recibir una notificación cuando se solicita una `GetSecretValue` operación que dé lugar a un mensaje de error específico en sus archivos de CloudTrail registro. Se pueden realizar otras operaciones de API en el secreto sin activar la alarma. Esta CloudWatch alarma detecta un uso que podría indicar que una persona o aplicación utiliza credenciales desactualizadas.
Antes de iniciar estos procedimientos, debes activar la cuenta Región de AWS y CloudTrail en la que pretendes supervisar las solicitudes de AWS Secrets Manager API. Para obtener instrucciones, vaya a [Creación de un registro de seguimiento por primera vez](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.
## Paso 1: Configurar la entrega de archivos de CloudTrail registro a CloudWatch Logs
Debe configurar la entrega de sus archivos de CloudTrail registro a CloudWatch Logs. Esto se hace para que CloudWatch Logs pueda supervisarlos en busca de solicitudes de la API Secrets Manager para recuperar un secreto pendiente de ser eliminado.
**Para configurar la entrega de archivos de CloudTrail registro a CloudWatch Logs**
1. Abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En la barra de navegación superior, selecciona la opción Región de AWS para monitorizar los secretos.
1. En el panel de navegación izquierdo, selecciona **Rutas** y, a continuación, elige el nombre de la ruta que deseas configurar CloudWatch.
1. En la página de **configuración de senderos**, desplácese hacia abajo hasta la sección **CloudWatch Registros** y, a continuación, elija el icono de edición (![\[Remote control icon with power, volume, and channel buttons.\]](http://docs.aws.amazon.com/es_es/secretsmanager/latest/userguide/images/edit-pencil-icon.png)).
1. Para **New or existing log group**, escriba un nombre del grupo de registros, como **CloudTrail/MyCloudWatchLogGroup**.
1. Para el **rol de IAM**, puede usar el rol predeterminado denominado **CloudTrail\$1 CloudWatchLogs \$1Role**. Este rol tiene una política de roles predeterminada con los permisos necesarios para entregar CloudTrail eventos al grupo de registros.
1. Elija **Continue** (Continuar) para guardar la configuración.
1. En la AWS CloudTrail página **para enviar CloudTrail los eventos asociados a la actividad de la API de tu cuenta a tu grupo de CloudWatch registros**, selecciona **Permitir**.
## Paso 2: Crea la CloudWatch alarma
Para recibir una notificación cuando una operación de la `GetSecretValue` API Secrets Manager solicite acceder a un secreto pendiente de eliminación, debe crear una CloudWatch alarma y configurar la notificación.
**Para crear una CloudWatch alarma**
1. Inicie sesión en la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En la barra de navegación superior, elige la AWS región en la que quieres supervisar los secretos.
1. En el panel de navegación izquierdo, elija **Logs (Registros)**.
1. En la lista de **grupos de registros**, active la casilla de verificación situada junto al grupo de registros que creó en el procedimiento anterior, como **CloudTrail/MyCloudWatchLogGroup**. A continuación, elija **Create Metric Filter**.
1. En **Filter Pattern**, escriba o pegue lo siguiente:
```
{ $.eventName = "GetSecretValue" && $.errorMessage = "*secret because it was marked for deletion*" }
```
Elija **Assign Metric (Asignar métrica)**.
1. En la página **Create Metric Filter and Assign a Metric**, haga lo siguiente:
1. En **Metric Namespace (Espacio de nombres de métrica)**, escriba **CloudTrailLogMetrics**.
1. En **Nombre de métrica**, escriba **AttemptsToAccessDeletedSecrets**.
1. Elija **Show advanced metric settings** y, a continuación, si es necesario para **Metric Value**, escriba **1**.
1. Elija **Create Filter**.
1. En el cuadro de filtro, elija **Create Alarm**.
1. En la ventana **Create Alarm**, haga lo siguiente:
1. En **Name (Nombre)**, escriba **AttemptsToAccessDeletedSecretsAlarm**.
1. **Whenever: (Donde:)**, para **is: (es:)**, elija **>=** y, a continuación, escriba **1**.
1. Junto a **Send notification to:**, realice una de las siguientes acciones:
+ Para crear y utilizar un nuevo tema de Amazon SNS, elija **New list (Nueva lista)** y, a continuación, escriba un nuevo nombre de tema. En **Email list:**, escriba al menos una dirección de correo electrónico. Puede escribir varias direcciones de correo electrónico separándolas con comas.
+ Para utilizar un tema de Amazon SNS existente, elija el nombre del tema que desea usar. Si no existe ninguna lista, elija **Select list (Seleccionar lista)**.
1. Elija **Crear alarma**.
## Paso 3: Pruebe la CloudWatch alarma
Para probar la alarma, cree un secreto y prográmelo para su eliminación. A continuación, intente recuperar el valor secreto. Al poco tiempo recibirá un correo electrónico en la dirección que haya configurado en la alarma. Es un aviso sobre el uso de un secreto programado para su eliminación.
# Supervise AWS Secrets Manager los secretos para garantizar el cumplimiento mediante AWS Config
Puede AWS Config utilizarla para evaluar sus secretos y comprobar si cumplen con sus normas. Los requisitos internos de seguridad y cumplimiento de los secretos se definen mediante AWS Config reglas. A continuación, AWS Config podrá identificar los secretos que no se ajusten a sus reglas. También puede realizar un seguimiento de los cambios de los metadatos de los secretos, la [configuración de rotación](find-secrets-not-rotating.md), la clave KMS utilizada para cifrar el secreto, la función de rotación de Lambda y las etiquetas asociadas a un secreto.
Puede configurarlo AWS Config para que le notifique los cambios. Para obtener más información, consulte el tema [Notificaciones que se AWS Config envían a un sitio de Amazon SNS.](https://docs.aws.amazon.com/config/latest/developerguide/notifications-for-AWS-Config.html)
Si tiene secretos en varios sitios Cuentas de AWS y Regiones de AWS en su organización, puede agregar esos datos de configuración y conformidad. Para obtener más información, consulte [Acumulación de datos de varias cuentas y regiones](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html).
**Evaluar la conformidad de los secretos**
+ Siga las instrucciones de la [sección Evaluación de los recursos con AWS Config reglas](https://docs.aws.amazon.com/config/latest/developerguide/evaluating-your-resources.html) y elija una de las siguientes reglas:
+ `[secretsmanager-secret-unused](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)`: verifica si se accedió a los secretos dentro de la cantidad de días especificada.
+ `[secretsmanager-using-cmk](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-using-cmk.html)`— Comprueba si los secretos se cifran con la clave gestionada por el cliente Clave administrada de AWS `aws/secretsmanager` o con una clave que hayas creado AWS KMS.
+ `[secretsmanager-rotation-enabled-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)`: verifica si se ha configurado la rotación para los secretos almacenados en Secrets Manager.
+ `[secretsmanager-scheduled-rotation-success-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)`: verifica si la última rotación correcta se encuentra dentro de la frecuencia de rotación configurada. La frecuencia mínima para la verificación es diariamente.
+ `[secretsmanager-secret-periodic-rotation](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)`: verifica si los secretos se rotaron dentro de la cantidad de días especificada.
# Monitoreo de los costos de Secrets Manager
Puedes usar Amazon CloudWatch para controlar los AWS Secrets Manager cargos estimados. Para obtener más información, consulta [Cómo crear una alarma de facturación para controlar AWS los cargos estimados](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/monitor_estimated_charges_with_cloudwatch.html) en la *Guía del CloudWatch usuario*.
Otra opción para monitorear sus costos es la detección de anomalías en los AWS costos. Para obtener más información, consulte [Detección de gastos inusuales mediante la detección de anomalías en los costos de AWS](https://docs.aws.amazon.com/cost-management/latest/userguide/manage-ad.html) en la *Guía del usuario de gestión de costos de AWS *.
Para obtener información sobre cómo supervisar el uso de Secrets Manager, consulte [Monitoriza AWS Secrets Manager con Amazon CloudWatch](monitoring-cloudwatch.md) y [AWS Secrets Manager Registra eventos con AWS CloudTrail](monitoring-cloudtrail.md).
Para obtener información sobre AWS Secrets Manager los precios, consulte[Precios](intro.md#asm_pricing).
# Detecta amenazas con Amazon GuardDuty
Amazon GuardDuty es un servicio de detección de amenazas que le ayuda a proteger sus cuentas, contenedores, cargas de trabajo y los datos de su AWS entorno. Mediante el uso de modelos de aprendizaje automático (ML) y funciones de detección de anomalías y amenazas, supervisa GuardDuty continuamente las diferentes fuentes de registro para identificar y priorizar los posibles riesgos de seguridad y las actividades maliciosas en su entorno. Por ejemplo, GuardDuty detectará posibles amenazas, como el acceso inusual o sospechoso a secretos y la exfiltración de credenciales en caso de que detecte credenciales que se crearon exclusivamente para una EC2 instancia de Amazon a través de una función de lanzamiento de instancias, pero que se utilizan desde otra cuenta interna. AWS Para obtener más información, consulta la [Guía del GuardDuty usuario de Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html).
Otro ejemplo de caso de uso para la detección es el comportamiento anómalo. Por ejemplo, si AWS Secrets Manager normalmente recibe`create-secret`, `get-secret-value``describe-secret`, y `list-secrets` llamadas de una entidad que utiliza el SDK de Java y, a continuación, otra entidad empieza a llamar `batch-get-secret-value` y a `get-secret-value` utilizar las llamadas AWS CLI desde fuera de la VPN, GuardDuty puede indicar que la segunda entidad está APIs invocando de forma anómala. Para obtener más información, consulte el [tipo CredentialAccess de búsqueda de GuardDuty IAM](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#credentialaccess-iam-anomalousbehavior):/. IAMUser AnomalousBehavior