Surveiller l'accès aux AWS Secrets Manager secrets dont la suppression est prévue - AWS Secrets Manager
Étape 1 : Configuration de la livraison du fichier CloudTrail journal à CloudWatch Logs Étape 2 : Création de l' CloudWatchalarmeÉtape 3 : Testez l' CloudWatchalarme

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Surveiller l'accès aux AWS Secrets Manager secrets dont la suppression est prévue

Vous pouvez utiliser à la AWS CloudTrail fois Amazon CloudWatch Logs et Amazon Simple Notification Service (Amazon SNS) pour créer une alarme qui vous avertira de toute tentative d'accès à un secret en attente de suppression. Si vous recevez une notification d'une alarme, vous pouvez annuler la suppression du secret afin de disposer de plus de temps pour déterminer si vous souhaitez vraiment le supprimer. Votre investigation peut aboutir à la restauration du secret car vous avez encore besoin du secret. Sinon, vous devrez peut-être mettre à jour l'utilisateur avec les détails du nouveau secret à utiliser.

Les procédures suivantes expliquent comment recevoir une notification lorsqu'une demande d'GetSecretValueopération entraîne l'enregistrement d'un message d'erreur spécifique dans vos fichiers CloudTrail journaux. Les autres opérations d'API peuvent être effectuées sur le secret sans déclencher l'alarme. Cette CloudWatch alarme détecte une utilisation qui pourrait indiquer qu'une personne ou une application utilise des informations d'identification périmées.

Avant de commencer ces procédures, vous devez activer le compte Région AWS and CloudTrail dans lequel vous souhaitez surveiller les demandes AWS Secrets Manager d'API. Pour de plus amples informations, consultez Création d'un journal d'activité pour la première fois dans le Guide de l'utilisateur AWS CloudTrail .

Étape 1 : Configuration de la livraison du fichier CloudTrail journal à CloudWatch Logs

Vous devez configurer la livraison de vos fichiers CloudTrail CloudWatch journaux à Logs. Vous procédez ainsi pour que CloudWatch Logs puisse les surveiller afin de détecter les demandes d'API Secrets Manager visant à récupérer un secret en attente de suppression.

Pour configurer la livraison des fichiers CloudTrail journaux à CloudWatch Logs

  1. Ouvrez la CloudTrail console à l'adresse https://console.aws.amazon.com/cloudtrail/.

  2. Dans la barre de navigation supérieure, choisissez l'option Région AWS pour surveiller les secrets.

  3. Dans le volet de navigation de gauche, choisissez Pistes, puis choisissez le nom de la piste pour laquelle vous souhaitez effectuer la configuration CloudWatch.

  4. Sur la page Configuration des sentiers, faites défiler la page jusqu'à la section CloudWatch Logs, puis cliquez sur l'icône de modification ( Remote control icon with power, volume, and channel buttons. ).

  5. Dans New or existing log group (Groupe de journaux nouveau ou existant), saisissez un nom pour le groupe de journaux, comme CloudTrail/MyCloudWatchLogGroup.

  6. Pour le rôle IAM, vous pouvez utiliser le rôle par défaut nommé CloudTrail_ CloudWatchLogs _Role. Ce rôle dispose d'une politique de rôle par défaut avec les autorisations requises pour transmettre CloudTrail des événements au groupe de journaux.

  7. Choisissez Continue (Continuer) pour enregistrer votre configuration.

  8. Sur la AWS CloudTrail page du groupe de CloudWatch journalisation des CloudTrail événements associés à l'activité des API de votre compte, sélectionnez Autoriser.

Étape 2 : Création de l' CloudWatchalarme

Pour recevoir une notification lorsqu'une opération de GetSecretValue l'API Secrets Manager demande l'accès à un secret en attente de suppression, vous devez créer une CloudWatch alarme et configurer une notification.

Pour créer une CloudWatch alarme

  1. Connectez-vous à la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans la barre de navigation supérieure, choisissez la AWS région dans laquelle vous souhaitez surveiller les secrets.

  3. Dans le panneau de navigation de gauche, choisissez Logs (Journaux).

  4. Dans la liste des groupes de journaux, cochez la case à côté du groupe de journaux que vous avez créé lors de la procédure précédente, tel que CloudTrail/MyCloudWatchLogGroup. Ensuite, choisissez Create Metric Filter (Créer un filtre de métrique).

  5. Pour Filter Pattern (Modèle de filtre), entrez ou collez ce qui suit :

    { $.eventName = "GetSecretValue" && $.errorMessage = "*secret because it was marked for deletion*" }

    Choisissez Assign Metric (Affecter une métrique).

  6. Sur la page Create Metric Filter and Assign a Metric (Créer un filtre de métrique et affecter une métrique), procédez comme suit :

    1. Dans Metric Namespace (Espace de noms de la métrique), saisissez CloudTrailLogMetrics.

    2. Dans Metric Name (Nom de la métrique), saisissez AttemptsToAccessDeletedSecrets.

    3. Choisissez Show advanced metric settings (Afficher les paramètres de métriques avancés), puis, si nécessaire, pour Metric Value (Valeur métrique), saisissez 1.

    4. Choisissez Create Filter (Créer un filtre).

  7. Dans la zone de filtre, choisissez Create Alarm (Créer une alarme).

  8. Dans la fenêtre Create Alarm (Créer une alarme), procédez comme suit :

    1. Pour Name (Nom), tapez AttemptsToAccessDeletedSecretsAlarm.

    2. Sous Whenever (Lorsque), pour is (est :), choisissez >= et saisissez 1.

    3. En regard de Send notification to (Envoyer une notification à), effectuez l'une des opérations suivantes :

      • Pour créer et utiliser une nouvelle rubrique Amazon SNS, choisissez New list (Nouvelle liste), puis saisissez le nom d'une nouvelle rubrique. Pour Email list (Liste des adresses e-mail), tapez au moins une adresse e-mail. Vous pouvez taper plusieurs adresses e-mail en les séparant par des virgules.

      • Pour utiliser une rubrique Amazon SNS existante, choisissez le nom de la rubrique à utiliser. Si aucune liste n'existe, choisissez Select list (Sélectionner la liste).

    4. Sélectionnez Create Alarm (Créer une alerte).

Étape 3 : Testez l' CloudWatchalarme

Pour tester votre alarme, créez un secret, puis planifiez sa suppression. Essayez ensuite de récupérer la valeur du secret. Vous recevez rapidement un e-mail à l'adresse que vous avez configurée dans l'alarme. Il vous avertit de l'utilisation d'un secret dont la suppression est programmée.