Paso 1: configurar el envío de archivos de registro de CloudTrail a CloudWatch Logs Paso 2: Crear la alarma de CloudWatch Paso 3: Probar la alarma de CloudWatch

Monitoreo cuando se accede a los secretos de AWS Secrets Manager programados para su eliminación

Puede utilizar una combinación de AWS CloudTrail, Amazon CloudWatch Logs y Amazon Simple Notification Service (Amazon SNS) para crear una alarma que le avise de cualquier intento de acceder a un secreto que esté pendiente de eliminación. Si recibe una notificación de una alarma de este tipo, es posible que prefiera cancelar la eliminación del secreto para disponer de más tiempo y poder determinar si realmente desea eliminarlo. Es posible que finalmente el secreto se restaure porque siga siendo necesario. Por otro lado, también es posible que necesite actualizar el usuario con los detalles del nuevo secreto que desee usar.

Los siguientes procedimientos explican cómo puede recibir una notificación cuando una solicitud de la operación GetSecretValue genera un mensaje de error específico que se escribe en los archivos de registro de CloudTrail. Se pueden realizar otras operaciones de API en el secreto sin activar la alarma. Esta alarma de CloudWatch detecta un uso que podría indicar que una persona o aplicación está utilizando credenciales obsoletas.

Antes de empezar con estos procedimientos, debe activar CloudTrail en la cuenta y Región de AWS donde tenga pensado monitorear las solicitudes de API de AWS Secrets Manager. Para obtener instrucciones, vaya a Creación de un registro de seguimiento por primera vez en la Guía del usuario de AWS CloudTrail.

Paso 1: configurar el envío de archivos de registro de CloudTrail a CloudWatch Logs

Debe configurar la entrega de sus archivos de registro de CloudTrail a CloudWatch Logs. Esto se hace para que CloudWatch Logs pueda monitorearlos con objeto de que las solicitudes a la API de Secrets Manager recuperen un secreto pendiente de eliminación.

Configurar la entrega de archivos de registro de CloudTrail a CloudWatch Logs

Abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/.
En la barra de navegación superior, elija la Región de AWS para monitorear los secretos.
En el panel de navegación izquierdo, elija Trails (Registros de seguimiento) y, a continuación, elija el nombre del registro de seguimiento que va a configurar para CloudWatch.
En la página Trails Configuration (Configuración de registros de seguimiento), desplácese hacia abajo hasta la sección CloudWatch Logs y, a continuación, elija el icono de edición ( ).
Para New or existing log group, escriba un nombre del grupo de registros, como CloudTrail/MyCloudWatchLogGroup.
En IAM role (rol de IAM), puede usar el rol predeterminado, llamado CloudTrail_CloudWatchLogs_Role. Ese rol tiene una política de rol predeterminada con los permisos necesarios para enviar eventos de CloudTrail al grupo de registros.
Elija Continue (Continuar) para guardar la configuración.
En la página AWS CloudTrail will deliver CloudTrail events associated with API activity in your account to your CloudWatch Logs log group (CTlong entregará eventos de CloudTrail asociados con la actividad de la API en su cuenta a su grupo de registro de CloudWatch Logs), elija Allow (Permitir).

Paso 2: Crear la alarma de CloudWatch

Si desea recibir una notificación cuando una operación de la API GetSecretValue de Secrets Manager solicite acceso a un secreto pendiente de eliminación, debe crear una alarma de CloudWatch y configurar la notificación.

Para crear una alarma de CloudWatch

Inicie sesión en la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.
En la barra de navegación superior, elija la región de AWS donde desee monitorear los secretos.
En el panel de navegación izquierdo, elija Logs (Registros).
En la lista Log Groups (Grupos de registros), seleccione la casilla situada junto al grupo que creó en el procedimiento anterior; por ejemplo, CloudTrail/MyCloudWatchLogGroup. A continuación, elija Create Metric Filter.

En Filter Pattern, escriba o pegue lo siguiente:


{ $.eventName = "GetSecretValue" && $.errorMessage = "*secret because it was marked for deletion*" }

Elija Assign Metric (Asignar métrica).

En la página Create Metric Filter and Assign a Metric, haga lo siguiente:
1. En Metric Namespace (Espacio de nombres de métrica), escriba CloudTrailLogMetrics.
2. En Nombre de métrica, escriba AttemptsToAccessDeletedSecrets.
3. Elija Show advanced metric settings y, a continuación, si es necesario para Metric Value, escriba 1.
4. Elija Create Filter.
En el cuadro de filtro, elija Create Alarm.
En la ventana Create Alarm, haga lo siguiente:
1. En Name (Nombre), escriba AttemptsToAccessDeletedSecretsAlarm.
2. Whenever: (Donde:), para is: (es:), elija >= y, a continuación, escriba 1.
3. Junto a Send notification to:, realice una de las siguientes acciones:
  - Para crear y utilizar un nuevo tema de Amazon SNS, elija New list (Nueva lista) y, a continuación, escriba un nuevo nombre de tema. En Email list:, escriba al menos una dirección de correo electrónico. Puede escribir varias direcciones de correo electrónico separándolas con comas.
  - Para utilizar un tema de Amazon SNS existente, elija el nombre del tema que desea usar. Si no existe ninguna lista, elija Select list (Seleccionar lista).
4. Seleccione Crear alarma.

Paso 3: Probar la alarma de CloudWatch

Para probar la alarma, cree un secreto y prográmelo para su eliminación. A continuación, intente recuperar el valor secreto. Al poco tiempo recibirá un correo electrónico en la dirección que haya configurado en la alarma. Es un aviso sobre el uso de un secreto programado para su eliminación.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Combinación de eventos de Secrets Manager con EventBridge

Supervisión de secretos para la conformidad