Surveiller l'accès aux AWS Secrets Manager secrets dont la suppression est prévue - AWS Secrets Manager
Étape 1 : Configuration de la livraison du fichier CloudTrail journal à CloudWatch Logs Étape 2 : Création de l' CloudWatchalarmeÉtape 3 : tester l' CloudWatchalarme

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Surveiller l'accès aux AWS Secrets Manager secrets dont la suppression est prévue

Vous pouvez utiliser à la AWS CloudTrail fois Amazon CloudWatch Logs et Amazon Simple Notification Service (AmazonSNS) pour créer une alarme qui vous avertira de toute tentative d'accès à un secret en attente de suppression. Si vous recevez une notification d'une alarme, vous pouvez annuler la suppression du secret afin de disposer de plus de temps pour déterminer si vous souhaitez vraiment le supprimer. Votre investigation peut aboutir à la restauration du secret car vous avez encore besoin du secret. Sinon, vous devrez peut-être mettre à jour l'utilisateur avec les détails du nouveau secret à utiliser.

Les procédures suivantes expliquent comment recevoir une notification lorsqu'une demande d'GetSecretValueopération entraîne l'enregistrement d'un message d'erreur spécifique dans vos fichiers CloudTrail journaux. D'autres API opérations peuvent être effectuées sur le secret sans déclencher l'alarme. Cette CloudWatch alarme détecte une utilisation qui pourrait indiquer qu'une personne ou une application utilise des informations d'identification périmées.

Avant de commencer ces procédures, vous devez activer CloudTrail le compte Région AWS et sur lequel vous souhaitez suivre les AWS Secrets Manager API demandes. Pour de plus amples informations, consultez Création d'un journal d'activité pour la première fois dans le Guide de l'utilisateur AWS CloudTrail .

Étape 1 : Configuration de la livraison du fichier CloudTrail journal à CloudWatch Logs

Vous devez configurer la livraison de vos fichiers CloudTrail CloudWatch journaux à Logs. Vous procédez ainsi pour que CloudWatch Logs puisse les surveiller afin de détecter les API demandes de Secrets Manager visant à récupérer un secret en attente de suppression.

Pour configurer la livraison des fichiers CloudTrail journaux à CloudWatch Logs

  1. Ouvrez la CloudTrail console à l'adresse https://console.aws.amazon.com/cloudtrail/.

  2. Dans la barre de navigation supérieure, choisissez l'option Région AWS pour surveiller les secrets.

  3. Dans le volet de navigation de gauche, choisissez Pistes, puis choisissez le nom de la piste pour laquelle vous souhaitez effectuer la configuration CloudWatch.

  4. Sur la page Configuration des sentiers, faites défiler la page jusqu'à la section CloudWatch Logs, puis cliquez sur l'icône de modification ( Remote control icon with power, volume, and channel buttons. ).

  5. Dans New or existing log group (Groupe de journaux nouveau ou existant), saisissez un nom pour le groupe de journaux, comme CloudTrail/MyCloudWatchLogGroup.

  6. Pour IAMle rôle, vous pouvez utiliser le rôle par défaut nommé CloudTrail_ CloudWatchLogs _Role. Ce rôle dispose d'une politique de rôle par défaut avec les autorisations requises pour transmettre CloudTrail des événements au groupe de journaux.

  7. Choisissez Continue (Continuer) pour enregistrer votre configuration.

  8. Sur la AWS CloudTrail page de votre groupe de CloudWatch journalisation des CloudTrail événements associés à l'APIactivité de votre compte, sélectionnez Autoriser.

Étape 2 : Création de l' CloudWatchalarme

Pour recevoir une notification lorsqu'une GetSecretValue API opération du Secrets Manager demande l'accès à un secret en attente de suppression, vous devez créer une CloudWatch alarme et configurer une notification.

Pour créer une CloudWatch alarme

  1. Connectez-vous à la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans la barre de navigation supérieure, choisissez la AWS région dans laquelle vous souhaitez surveiller les secrets.

  3. Dans le panneau de navigation de gauche, choisissez Logs (Journaux).

  4. Dans la liste des groupes de journaux, cochez la case à côté du groupe de journaux que vous avez créé lors de la procédure précédente, tel que CloudTrail/MyCloudWatchLogGroup. Ensuite, choisissez Create Metric Filter (Créer un filtre de métrique).

  5. Pour Filter Pattern (Modèle de filtre), entrez ou collez ce qui suit :

    { $.eventName = "GetSecretValue" && $.errorMessage = "*secret because it was marked for deletion*" }

    Choisissez Assign Metric (Affecter une métrique).

  6. Sur la page Create Metric Filter and Assign a Metric (Créer un filtre de métrique et affecter une métrique), procédez comme suit :

    1. Dans Metric Namespace (Espace de noms de la métrique), saisissez CloudTrailLogMetrics.

    2. Dans Metric Name (Nom de la métrique), saisissez AttemptsToAccessDeletedSecrets.

    3. Choisissez Show advanced metric settings (Afficher les paramètres de métriques avancés), puis, si nécessaire, pour Metric Value (Valeur métrique), saisissez 1.

    4. Choisissez Create Filter (Créer un filtre).

  7. Dans la zone de filtre, choisissez Create Alarm (Créer une alarme).

  8. Dans la fenêtre Create Alarm (Créer une alarme), procédez comme suit :

    1. Pour Name (Nom), tapez AttemptsToAccessDeletedSecretsAlarm.

    2. Sous Whenever (Lorsque), pour is (est :), choisissez >= et saisissez 1.

    3. En regard de Send notification to (Envoyer une notification à), effectuez l'une des opérations suivantes :

      • Pour créer et utiliser un nouveau SNS sujet Amazon, choisissez Nouvelle liste, puis saisissez un nouveau nom de sujet. Pour Email list (Liste des adresses e-mail), tapez au moins une adresse e-mail. Vous pouvez taper plusieurs adresses e-mail en les séparant par des virgules.

      • Pour utiliser un SNS sujet Amazon existant, choisissez le nom du sujet à utiliser. Si aucune liste n'existe, choisissez Select list (Sélectionner la liste).

    4. Sélectionnez Create Alarm (Créer une alerte).

Étape 3 : tester l' CloudWatchalarme

Pour tester votre alarme, créez un secret, puis planifiez sa suppression. Essayez ensuite de récupérer la valeur du secret. Vous recevez rapidement un e-mail à l'adresse que vous avez configurée dans l'alarme. Il vous avertit de l'utilisation d'un secret dont la suppression est programmée.