Stockage AWS Secrets Manager secret des informations d' PagerDuty accès - Incident Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Stockage AWS Secrets Manager secret des informations d' PagerDuty accès

Une fois que vous avez activé l'intégration avec PagerDuty pour un plan de réponse, Incident Manager fonctionne de la PagerDuty manière suivante :

  • Incident Manager crée un incident correspondant PagerDuty lorsque vous créez un nouvel incident dans Incident Manager.

  • Le flux de travail de pagination et les politiques d'escalade que vous avez créés PagerDuty sont utilisés dans l' PagerDuty environnement. Cependant, Incident Manager n'importe pas votre PagerDuty configuration.

  • Incident Manager publie les événements chronologiques sous forme de notes relatives à l'incident PagerDuty, dans la limite de 2 000 notes.

  • Vous pouvez choisir de résoudre automatiquement les PagerDuty incidents lorsque vous résolvez l'incident correspondant dans Incident Manager.

Pour intégrer Incident Manager à Incident Manager PagerDuty, vous devez d'abord créer un secret AWS Secrets Manager contenant vos PagerDuty informations d'identification. Ils permettent à Incident Manager de communiquer avec votre PagerDuty service. Vous pouvez ensuite inclure un PagerDuty service dans les plans de réponse que vous créez dans Incident Manager.

Ce secret que vous créez dans Secrets Manager doit contenir, dans le format JSON approprié, les éléments suivants :

  • Une clé d'API provenant de votre PagerDuty compte. Vous pouvez utiliser une clé d'API REST d'accès général ou une clé d'API REST User Token.

  • Une adresse e-mail utilisateur valide provenant de votre PagerDuty sous-domaine.

  • La région PagerDuty de service dans laquelle vous avez déployé votre sous-domaine.

    Note

    Tous les services d'un PagerDuty sous-domaine sont déployés dans la même région de service.

Prérequis

Avant de créer le secret dans Secrets Manager, assurez-vous que vous répondez aux exigences suivantes.

Clé KMS

Vous devez chiffrer le secret que vous créez avec une clé gérée par le client que vous avez créée dans AWS Key Management Service (AWS KMS). Vous spécifiez cette clé lorsque vous créez le secret qui stocke vos PagerDuty informations d'identification.

Important

Secrets Manager offre la possibilité de chiffrer le secret avec un Clé gérée par AWS, mais ce mode de chiffrement n'est pas pris en charge.

La clé gérée par le client doit répondre aux exigences suivantes :

  • Type de clé : choisissez Symetric.

  • Utilisation de la clé : choisissez Chiffrer et déchiffrer.

  • Régionalité : si vous souhaitez répliquer votre plan de réponse à plusieurs Régions AWS, assurez-vous de sélectionner la clé multirégionale.

     

Stratégie de clé

L'utilisateur qui configure le plan de réponse doit disposer d'une autorisation pour kms:GenerateDataKey et kms:Decrypt dans la politique basée sur les ressources de la clé. Le directeur du ssm-incidents.amazonaws.com service doit disposer d'une autorisation pour kms:GenerateDataKey et kms:Decrypt dans la politique basée sur les ressources de la clé.

La politique suivante décrit ces autorisations. Remplacez chaque espace réservé à la saisie de l'utilisateur par vos propres informations.

{
    "Version": "2012-10-17",
    "Id": "key-consolepolicy-3",
    "Statement": [
        {
            "Sid": "Enable IAM user permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow creator of response plan to use the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "IAM_ARN_of_principal_creating_response_plan"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow Incident Manager to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm-incidents.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        }
    ]
}

Pour plus d'informations sur la création d'une nouvelle clé gérée par le client, consultez la section Création de clés KMS de chiffrement symétriques dans le guide du AWS Key Management Service développeur. Pour plus d'informations sur AWS KMS les clés, consultez la section AWS KMS Concepts.

Si une clé gérée par le client existante répond à toutes les exigences précédentes, vous pouvez modifier sa politique pour ajouter ces autorisations. Pour plus d'informations sur la mise à jour de la politique d'une clé gérée par le client, consultez la section Modification d'une politique clé dans le Guide du AWS Key Management Service développeur.

Astuce

Vous pouvez spécifier une clé de condition pour limiter encore davantage l'accès. Par exemple, la politique suivante autorise l'accès via Secrets Manager dans la région USA Est (Ohio) (us-east-2) uniquement :

{
    "Sid": "Enable IM Permissions",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-incidents.amazonaws.com"
    },
    "Action": ["kms:Decrypt", "kms:GenerateDataKey*"],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com"
        }
    }
}
GetSecretValueautorisation

L'identité IAM (utilisateur, rôle ou groupe) qui crée le plan de réponse doit disposer de l'autorisation IAM. secretsmanager:GetSecretValue

Pour stocker les informations d' PagerDuty accès dans un AWS Secrets Manager secret

  1. Suivez les étapes de l'étape 3a de la section Créer un AWS Secrets Manager secret dans le guide de AWS Secrets Manager l'utilisateur.

  2. Pour l'étape 3b, pour les paires clé/valeur, procédez comme suit :

    • Choisissez l'onglet Plaintext.

    • Remplacez le contenu par défaut de la boîte par la structure JSON suivante :

      {
    "pagerDutyToken": "pagerduty-token",
    "pagerDutyServiceRegion": "pagerduty-region",
    "pagerDutyFromEmail": "pagerduty-email"
}

    • Dans l'exemple JSON que vous avez collé, remplacez les valeurs d'espace réservé comme suit :

      • pagerduty-token : valeur d'une clé d'API REST General Access ou d'une clé d'API REST User Token de votre compte. PagerDuty

        Pour des informations connexes, consultez la section Clés d'accès aux API dans la base de PagerDuty connaissances.

      • pagerduty-region : région de service du centre de PagerDuty données qui héberge votre sous-domaine. PagerDuty

        Pour des informations connexes, consultez la section Régions de service dans la base de PagerDuty connaissances.

      • pagerduty-email : adresse e-mail valide d'un utilisateur appartenant à votre sous-domaine. PagerDuty

        Pour des informations connexes, consultez la section Gestion des utilisateurs dans la base de PagerDuty connaissances.

      L'exemple suivant montre un secret JSON complet contenant les PagerDuty informations d'identification requises :

      {
    "pagerDutyToken": "y_NbAkKc66ryYEXAMPLE",
    "pagerDutyServiceRegion": "US",
    "pagerDutyFromEmail": "JohnDoe@example.com"
}

  3. À l'étape 3c, pour Clé de chiffrement, choisissez une clé gérée par le client que vous avez créée et qui répond aux exigences répertoriées dans la section Prérequis précédente.

  4. À l'étape 4c, pour les autorisations relatives aux ressources, procédez comme suit :

    • Développez les autorisations relatives aux ressources.

    • Choisissez Modifier les autorisations.

    • Remplacez le contenu par défaut de la boîte de politique par la structure JSON suivante :

      {
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-incidents.amazonaws.com"
    },
    "Action": "secretsmanager:GetSecretValue",
    "Resource": "*"
}

    • Choisissez Enregistrer.

  5. À l'étape 4d, pour Répliquer le secret, procédez comme suit si vous avez répliqué votre plan de réponse vers plusieurs : Région AWS

    • Développez le secret de réplication.

    • Pour Région AWS, sélectionnez la région dans laquelle vous avez répliqué votre plan de réponse.

    • Pour la clé de chiffrement, choisissez une clé gérée par le client que vous avez créée ou répliquée dans cette région et qui répond aux exigences répertoriées dans la section Conditions préalables.

    • Pour chaque élément supplémentaire Région AWS, choisissez Ajouter une région, puis sélectionnez le nom de la région et la clé gérée par le client.

  6. Effectuez les étapes restantes de la section Créer un AWS Secrets Manager secret dans le guide de AWS Secrets Manager l'utilisateur.

Pour plus d'informations sur la façon d'ajouter un PagerDuty service à un flux de travail relatif aux incidents d'Incident Manager, voir Intégrer un PagerDuty service dans le plan de réponse de la rubriqueCréation d'un plan de réponse.

Informations connexes

Comment automatiser la réponse aux incidents avec PagerDuty et AWS Systems Manager Incident Manager (blog sur AWS Cloud les opérations et les migrations)

Chiffrement secret AWS Secrets Manager dans le guide de AWS Secrets Manager l'utilisateur