Menyimpan kredensyal PagerDuty akses secara rahasia AWS Secrets Manager - Incident Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyimpan kredensyal PagerDuty akses secara rahasia AWS Secrets Manager

Setelah Anda mengaktifkan integrasi dengan PagerDuty untuk rencana respons, Manajer Insiden bekerja dengan PagerDuty cara berikut:

  • Manajer Insiden membuat insiden terkait PagerDuty saat Anda membuat insiden baru di Manajer Insiden.

  • Alur kerja paging dan kebijakan eskalasi yang Anda buat PagerDuty digunakan di lingkungan. PagerDuty Namun, Manajer Insiden tidak mengimpor PagerDuty konfigurasi Anda.

  • Manajer Insiden menerbitkan peristiwa timeline sebagai catatan untuk insiden di PagerDuty, hingga maksimum 2.000 catatan.

  • Anda dapat memilih untuk menyelesaikan PagerDuty insiden secara otomatis ketika Anda menyelesaikan insiden terkait di Manajer Insiden.

Untuk mengintegrasikan Manajer Insiden dengan PagerDuty, Anda harus terlebih dahulu membuat rahasia AWS Secrets Manager yang berisi PagerDuty kredensil Anda. Ini memungkinkan Manajer Insiden untuk berkomunikasi dengan PagerDuty layanan Anda. Anda kemudian dapat menyertakan PagerDuty layanan dalam paket respons yang Anda buat di Manajer Insiden.

Rahasia yang Anda buat di Secrets Manager ini harus berisi, dalam JSON format yang tepat, berikut ini:

  • APIKunci dari PagerDuty akun Anda. Anda dapat menggunakan REST API Kunci Akses Umum atau REST API Kunci Token Pengguna.

  • Alamat email pengguna yang valid dari PagerDuty subdomain Anda.

  • Wilayah PagerDuty layanan tempat Anda menerapkan subdomain Anda.

    catatan

    Semua layanan dalam PagerDuty subdomain disebarkan ke wilayah layanan yang sama.

Prasyarat

Sebelum membuat rahasia di Secrets Manager, pastikan Anda memenuhi persyaratan berikut.

KMSkunci

Anda harus mengenkripsi rahasia yang Anda buat dengan kunci terkelola pelanggan yang telah Anda buat di AWS Key Management Service (AWS KMS). Anda menentukan kunci ini ketika Anda membuat rahasia yang menyimpan PagerDuty kredensyal Anda.

penting

Secrets Manager menyediakan opsi untuk mengenkripsi rahasia dengan Kunci yang dikelola AWS, tetapi mode enkripsi ini tidak didukung.

Kunci yang dikelola pelanggan harus memenuhi persyaratan berikut:

  • Jenis kunci: Pilih Simetris.

  • Penggunaan kunci: Pilih Enkripsi dan dekripsi.

  • Regionalitas: Jika Anda ingin mereplikasi paket respons Anda ke beberapa Wilayah AWS, pastikan Anda memilih kunci Multi-Region.

     

Kebijakan kunci

Pengguna yang mengonfigurasi paket respons harus memiliki izin untuk kms:GenerateDataKey dan kms:Decrypt dalam kebijakan berbasis sumber daya kunci. Kepala ssm-incidents.amazonaws.com layanan harus memiliki izin untuk kms:GenerateDataKey dan kms:Decrypt dalam kebijakan berbasis sumber daya kunci.

Kebijakan berikut menunjukkan izin ini. Ganti masing-masing user input placeholder dengan informasi Anda sendiri.

{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Enable IAM user permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow creator of response plan to use the key", "Effect": "Allow", "Principal": { "AWS": "IAM_ARN_of_principal_creating_response_plan" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*" }, { "Sid": "Allow Incident Manager to use the key", "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*" } ] }

Untuk informasi tentang membuat kunci terkelola pelanggan baru, lihat Membuat KMS kunci enkripsi simetris di Panduan AWS Key Management Service Pengembang. Untuk informasi selengkapnya tentang AWS KMS kunci, lihat AWS KMS konsep.

Jika kunci terkelola pelanggan yang sudah ada memenuhi semua persyaratan sebelumnya, Anda dapat mengedit kebijakannya untuk menambahkan izin ini. Untuk informasi tentang memperbarui kebijakan dalam kunci terkelola pelanggan, lihat Mengubah kebijakan kunci di Panduan AWS Key Management Service Pengembang.

Tip

Anda dapat menentukan kunci kondisi untuk membatasi akses lebih jauh. Misalnya, kebijakan berikut mengizinkan akses melalui Secrets Manager di Wilayah Timur AS (Ohio) (us-east-2) saja:

{ "Sid": "Enable IM Permissions", "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": ["kms:Decrypt", "kms:GenerateDataKey*"], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com" } } }
GetSecretValueizin

IAMIdentitas (pengguna, peran, atau grup) yang membuat rencana respons harus memiliki IAM izinsecretsmanager:GetSecretValue.

Untuk menyimpan kredensyal PagerDuty akses secara rahasia AWS Secrets Manager
  1. Ikuti langkah-langkah melalui Langkah 3a di Buat AWS Secrets Manager rahasia di Panduan AWS Secrets Manager Pengguna.

  2. Untuk Langkah 3b, untuk pasangan kunci/nilai, lakukan hal berikut:

    • Pilih tab Plaintext.

    • Ganti isi default kotak dengan JSON struktur berikut:

      { "pagerDutyToken": "pagerduty-token", "pagerDutyServiceRegion": "pagerduty-region", "pagerDutyFromEmail": "pagerduty-email" }
    • Dalam JSON sampel yang Anda tempel, ganti placeholder values sebagai berikut:

      • pagerduty-token: Nilai REST API Kunci Akses Umum atau REST API Kunci Token Pengguna dari PagerDuty akun Anda.

        Untuk informasi terkait, lihat Kunci API Akses di Pangkalan PagerDuty Pengetahuan.

      • pagerduty-region: Wilayah layanan pusat PagerDuty data yang menghosting PagerDuty subdomain Anda.

        Untuk informasi terkait, lihat Wilayah Layanan di Pangkalan PagerDuty Pengetahuan.

      • pagerduty-email: Alamat email yang valid untuk pengguna yang termasuk dalam PagerDuty subdomain Anda.

        Untuk informasi terkait, lihat Mengelola Pengguna di Pangkalan PagerDuty Pengetahuan.

      Contoh berikut menunjukkan JSON rahasia lengkap yang berisi PagerDuty kredensil yang diperlukan:

      { "pagerDutyToken": "y_NbAkKc66ryYEXAMPLE", "pagerDutyServiceRegion": "US", "pagerDutyFromEmail": "JohnDoe@example.com" }
  3. Pada Langkah 3c, untuk kunci Enkripsi, pilih kunci terkelola pelanggan yang Anda buat yang memenuhi persyaratan yang tercantum di bagian Prasyarat sebelumnya.

  4. Pada Langkah 4c, untuk izin Sumber Daya, lakukan hal berikut:

    • Perluas izin Sumber Daya.

    • Pilih Edit izin.

    • Ganti isi default kotak kebijakan dengan JSON struktur berikut:

      { "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" }
    • Pilih Simpan.

  5. Pada Langkah 4d, untuk Replikasi rahasia, lakukan hal berikut jika Anda mereplikasi rencana respons Anda ke lebih dari satu: Wilayah AWS

    • Perluas rahasia Replikasi.

    • Untuk Wilayah AWS, pilih Wilayah tempat Anda mereplikasi rencana respons Anda.

    • Untuk kunci Enkripsi, pilih kunci terkelola pelanggan yang Anda buat, atau direplikasi ke, Wilayah ini yang memenuhi persyaratan yang tercantum di bagian Prasyarat.

    • Untuk setiap tambahan Wilayah AWS, pilih Tambah Wilayah dan pilih nama Wilayah dan kunci yang dikelola pelanggan.

  6. Selesaikan langkah-langkah yang tersisa di Buat AWS Secrets Manager rahasia di Panduan AWS Secrets Manager Pengguna.

Untuk informasi tentang cara menambahkan PagerDuty layanan ke alur kerja insiden Manajer Insiden, lihat Mengintegrasikan PagerDuty layanan ke dalam paket respons dalam topikMembuat rencana respons.

Informasi terkait

Cara Mengotomatiskan Respons Insiden dengan PagerDuty dan AWS Systems Manager Incident Manager (Blog AWS Cloud Operasi dan Migrasi)

Enkripsi rahasia AWS Secrets Manager di Panduan AWS Secrets Manager Pengguna