Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memantau AWS Secrets Manager rahasia
AWS menyediakan alat pemantauan untuk menonton rahasia Secrets Manager, melaporkan ketika ada sesuatu yang salah, dan mengambil tindakan otomatis bila perlu. Anda dapat menggunakan log jika Anda perlu menyelidiki penggunaan atau perubahan yang tidak terduga, dan kemudian Anda dapat memutar kembali perubahan yang tidak diinginkan. Anda juga dapat mengatur pemeriksaan otomatis untuk penggunaan rahasia yang tidak pantas dan segala upaya untuk menghapus rahasia.
**Topics**
+ [Log dengan AWS CloudTrail](monitoring-cloudtrail.md)
+ [Monitor dengan CloudWatch](monitoring-cloudwatch.md)
+ [Acara Match Secrets Manager dengan EventBridge](monitoring-eventbridge.md)
+ [Memantau rahasia yang dijadwalkan untuk dihapus](monitoring_cloudwatch_deleted-secrets.md)
+ [Pantau rahasia untuk kepatuhan](configuring-awsconfig-rules.md)
+ [Biaya Monitor Secrets Manager](monitor-secretsmanager-costs.md)
+ [Mendeteksi ancaman dengan GuardDuty](monitoring-guardduty.md)
# Log AWS Secrets Manager peristiwa dengan AWS CloudTrail
AWS CloudTrail merekam semua panggilan API untuk Secrets Manager sebagai peristiwa, termasuk panggilan dari konsol Secrets Manager, serta beberapa peristiwa lain untuk rotasi dan penghapusan versi rahasia. Untuk daftar entri log dalam catatan Secrets Manager, lihat[CloudTrail entri](cloudtrail_log_entries.md).
Anda dapat menggunakan CloudTrail konsol untuk melihat 90 hari terakhir dari peristiwa yang direkam. Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, termasuk peristiwa untuk Secrets Manager, buat jejak sehingga CloudTrail mengirimkan file log ke bucket Amazon S3. Lihat [Membuat jejak untuk AWS akun Anda](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html). Anda juga dapat mengonfigurasi CloudTrail untuk menerima file CloudTrail log dari [beberapa Akun AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) dan [Wilayah AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html).
Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data yang dikumpulkan dalam CloudTrail log. Lihat [integrasi AWS layanan dengan CloudTrail log](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations). Anda juga bisa mendapatkan notifikasi saat CloudTrail menerbitkan file log baru ke bucket Amazon S3 Anda. Lihat [Mengonfigurasi notifikasi Amazon SNS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html) untuk. CloudTrail
**Untuk mengambil peristiwa Secrets Manager dari CloudTrail log (konsol)**
1. Buka CloudTrail konsol di [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Pastikan konsol menunjuk ke Wilayah tempat kejadian Anda terjadi. Konsol hanya menampilkan peristiwa yang terjadi di Wilayah yang dipilih. Pilih Wilayah dari daftar drop-down di sudut kanan atas konsol.
1. **Di panel navigasi sebelah kiri, pilih Riwayat acara.**
1. Pilih **Filter** kriteria and/or **Rentang waktu** untuk membantu Anda menemukan acara yang Anda cari. Contoh:
1. Untuk melihat semua event Secrets Manager, untuk **atribut Lookup**, pilih **Event source**. Kemudian, untuk **Masukkan sumber acara**, pilih**secretsmanager.amazonaws.com**.
1. Untuk melihat semua peristiwa untuk rahasia, untuk **atribut Pencarian**, pilih **Nama sumber daya**. Kemudian, untuk **Masukkan nama sumber daya**, masukkan nama rahasianya.
1. Untuk melihat detail tambahan, pilih panah perluas di sebelah acara. Untuk melihat semua informasi yang tersedia, pilih **Lihat acara**.
## AWS CLI
**Example Ambil peristiwa Secrets Manager dari log CloudTrail**
[https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html)Contoh berikut mencari peristiwa Secrets Manager.
```
aws cloudtrail lookup-events \
--region us-east-1 \
--lookup-attributes AttributeKey=EventSource,AttributeValue=secretsmanager.amazonaws.com
```
# AWS CloudTrail entri untuk Secrets Manager
AWS Secrets Manager menulis entri ke AWS CloudTrail log Anda untuk semua operasi Secrets Manager dan untuk acara lain yang terkait dengan rotasi dan penghapusan. Untuk informasi tentang mengambil tindakan pada peristiwa ini, lihat[Acara Match Secrets Manager dengan EventBridge](monitoring-eventbridge.md).
**Topics**
+ [Entri log untuk operasi Secrets Manager](#cloudtrail_log_entries_operations)
+ [Entri log untuk penghapusan](#cloudtrail_log_entries_deletion)
+ [Entri log untuk replikasi](#cloudtrail_log_entries_replication)
+ [Entri log untuk rotasi](#cloudtrail_log_entries_rotation)
## Entri log untuk operasi Secrets Manager
Peristiwa yang dihasilkan oleh panggilan ke operasi Secrets Manager memiliki`"detail-type": ["AWS API Call via CloudTrail"]`.
**catatan**
Sebelum Februari 2024, beberapa operasi Secrets Manager melaporkan peristiwa yang berisi “ArN” alih-alih "arn" untuk ARN rahasia. Untuk informasi lebih lanjut, lihat [AWS re:Post](https://repost.aws/knowledge-center/secrets-manager-arn).
Berikut ini adalah CloudTrail entri yang dihasilkan saat Anda atau layanan memanggil Secrets Manager beroperasi melalui API, SDK, atau CLI.
**BatchGetSecretValue**
Dihasilkan oleh [BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html)operasi. Untuk informasi tentang mengambil rahasia, lihat[Dapatkan rahasia dari AWS Secrets Manager](retrieving-secrets.md).
**CancelRotateSecret**
Dihasilkan oleh [CancelRotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CancelRotateSecret.html)operasi. Untuk informasi tentang rotasi, lihat[Putar AWS Secrets Manager rahasia](rotating-secrets.md).
**CreateSecret**
Dihasilkan oleh [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)operasi. Untuk informasi tentang membuat rahasia, lihat[Mengelola rahasia dengan AWS Secrets Manager](managing-secrets.md).
**DeleteResourcePolicy**
Dihasilkan oleh [DeleteResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteResourcePolicy.html)operasi. Untuk informasi tentang izin, lihat[Otentikasi dan kontrol akses untuk AWS Secrets Manager](auth-and-access.md).
**DeleteSecret**
Dihasilkan oleh [DeleteSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteSecret.html)operasi. Untuk informasi tentang menghapus rahasia, lihat[Hapus AWS Secrets Manager rahasia](manage_delete-secret.md).
**DescribeSecret**
Dihasilkan oleh [DescribeSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html)operasi.
**GetRandomPassword**
Dihasilkan oleh [GetRandomPassword](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetRandomPassword.html)operasi.
**GetResourcePolicy**
Dihasilkan oleh [GetResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html)operasi. Untuk informasi tentang izin, lihat[Otentikasi dan kontrol akses untuk AWS Secrets Manager](auth-and-access.md).
**GetSecretValue**
Dihasilkan oleh [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html)dan [BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html)operasi. Untuk informasi tentang mengambil rahasia, lihat[Dapatkan rahasia dari AWS Secrets Manager](retrieving-secrets.md).
**ListSecrets**
Dihasilkan oleh [ListSecrets](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecrets.html)operasi. Untuk informasi tentang daftar rahasia, lihat[Temukan rahasia di AWS Secrets Manager](manage_search-secret.md).
**ListSecretVersionIds**
Dihasilkan oleh [ListSecretVersionIds](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecretVersionIds.html)operasi.
**PutResourcePolicy**
Dihasilkan oleh [PutResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html)operasi. Untuk informasi tentang izin, lihat[Otentikasi dan kontrol akses untuk AWS Secrets Manager](auth-and-access.md).
**PutSecretValue**
Dihasilkan oleh [PutSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutSecretValue.html)operasi. Untuk informasi tentang memperbarui rahasia, lihat[Memodifikasi AWS Secrets Manager rahasia](manage_update-secret.md).
**RemoveRegionsFromReplication**
Dihasilkan oleh [RemoveRegionsFromReplication](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RemoveRegionsFromReplication.html)operasi. Untuk informasi tentang mereplikasi rahasia, lihat[Replikasi AWS Secrets Manager rahasia di seluruh Wilayah](replicate-secrets.md).
**ReplicateSecretToRegions**
Dihasilkan oleh [ReplicateSecretToRegions](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html)operasi. Untuk informasi tentang mereplikasi rahasia, lihat[Replikasi AWS Secrets Manager rahasia di seluruh Wilayah](replicate-secrets.md).
**RestoreSecret**
Dihasilkan oleh [RestoreSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RestoreSecret.html)operasi. Untuk informasi tentang memulihkan rahasia yang dihapus, lihat[Kembalikan AWS Secrets Manager rahasia](manage_restore-secret.md).
**RotateSecret**
Dihasilkan oleh [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)operasi. Untuk informasi tentang rotasi, lihat[Putar AWS Secrets Manager rahasia](rotating-secrets.md).
**StopReplicationToReplica**
Dihasilkan oleh [StopReplicationToReplica](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html)operasi. Untuk informasi tentang mereplikasi rahasia, lihat[Replikasi AWS Secrets Manager rahasia di seluruh Wilayah](replicate-secrets.md).
**TagResource**
Dihasilkan oleh [TagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_TagResource.html)operasi. Untuk informasi tentang menandai rahasia, lihat[Menandai rahasia di AWS Secrets Manager](managing-secrets_tagging.md).
**UntagResource**
Dihasilkan oleh [UntagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UntagResource.html)operasi. Untuk informasi tentang membuka tanda rahasia, lihat. [Menandai rahasia di AWS Secrets Manager](managing-secrets_tagging.md)
**UpdateSecret**
Dihasilkan oleh [UpdateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecret.html)operasi. Untuk informasi tentang memperbarui rahasia, lihat[Memodifikasi AWS Secrets Manager rahasia](manage_update-secret.md).
**UpdateSecretVersionStage**
Dihasilkan oleh [UpdateSecretVersionStage](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecretVersionStage.html)operasi. Untuk informasi tentang tahapan versi, lihat[Versi rahasia](whats-in-a-secret.md#term_version).
**ValidateResourcePolicy**
Dihasilkan oleh [ValidateResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ValidateResourcePolicy.html)operasi. Untuk informasi tentang izin, lihat[Otentikasi dan kontrol akses untuk AWS Secrets Manager](auth-and-access.md).
## Entri log untuk penghapusan
Selain acara untuk operasi Secrets Manager, Secrets Manager menghasilkan peristiwa berikut yang terkait dengan penghapusan. Peristiwa ini memiliki`"detail-type": ["AWS Service Event via CloudTrail"]`.
**CancelSecretVersionDelete**
Dihasilkan oleh layanan Secrets Manager. Jika Anda memanggil `DeleteSecret` rahasia yang memiliki versi, dan kemudian menelepon`RestoreSecret`, Secrets Manager mencatat peristiwa ini untuk setiap versi rahasia yang dipulihkan. Untuk informasi tentang memulihkan rahasia yang dihapus, lihat[Kembalikan AWS Secrets Manager rahasia](manage_restore-secret.md).
**EndSecretVersionDelete**
Dihasilkan oleh layanan Secrets Manager ketika versi rahasia dihapus. Untuk informasi selengkapnya, lihat [Hapus AWS Secrets Manager rahasia](manage_delete-secret.md).
**StartSecretVersionDelete**
Dihasilkan oleh layanan Secrets Manager saat Secrets Manager memulai penghapusan untuk versi rahasia. Untuk informasi tentang menghapus rahasia, lihat[Hapus AWS Secrets Manager rahasia](manage_delete-secret.md).
**SecretVersionDeletion**
Dihasilkan oleh layanan Secrets Manager saat Secrets Manager menghapus versi rahasia yang tidak digunakan lagi. Untuk informasi selengkapnya, lihat [Versi rahasia](whats-in-a-secret.md#term_version).
## Entri log untuk replikasi
Selain acara untuk operasi Secrets Manager, Secrets Manager menghasilkan peristiwa berikut yang terkait dengan replikasi. Peristiwa ini memiliki`"detail-type": ["AWS Service Event via CloudTrail"]`.
**ReplicationFailed**
Dihasilkan oleh layanan Secrets Manager saat replikasi gagal. Untuk informasi tentang mereplikasi rahasia, lihat[Replikasi AWS Secrets Manager rahasia di seluruh Wilayah](replicate-secrets.md).
**ReplicationStarted**
Dihasilkan oleh layanan Secrets Manager saat Secrets Manager mulai mereplikasi rahasia. Untuk informasi tentang mereplikasi rahasia, lihat[Replikasi AWS Secrets Manager rahasia di seluruh Wilayah](replicate-secrets.md).
**ReplicationSucceeded**
Dihasilkan oleh layanan Secrets Manager ketika sebuah rahasia berhasil direplikasi. Untuk informasi tentang mereplikasi rahasia, lihat[Replikasi AWS Secrets Manager rahasia di seluruh Wilayah](replicate-secrets.md).
## Entri log untuk rotasi
Selain acara untuk operasi Secrets Manager, Secrets Manager menghasilkan peristiwa berikut yang terkait dengan rotasi. Peristiwa ini memiliki`"detail-type": ["AWS Service Event via CloudTrail"]`.
**RotationStarted**
Dihasilkan oleh layanan Secrets Manager saat Secrets Manager mulai memutar rahasia. Untuk informasi tentang rotasi, lihat[Putar AWS Secrets Manager rahasia](rotating-secrets.md).
**RotationAbandoned**
Dihasilkan oleh layanan Secrets Manager ketika Secrets Manager meninggalkan upaya rotasi dan menghapus `AWSPENDING` label dari versi rahasia yang ada. Secrets Manager meninggalkan rotasi saat Anda membuat versi baru rahasia selama rotasi. Untuk informasi tentang rotasi, lihat[Putar AWS Secrets Manager rahasia](rotating-secrets.md).
**RotationFailed**
Dihasilkan oleh layanan Secrets Manager saat rotasi gagal. Untuk informasi tentang rotasi, lihat[Memecahkan masalah rotasi AWS Secrets Manager](troubleshoot_rotation.md).
**RotationSucceeded**
Dihasilkan oleh layanan Secrets Manager ketika sebuah rahasia berhasil diputar. Untuk informasi tentang rotasi, lihat[Putar AWS Secrets Manager rahasia](rotating-secrets.md).
**TestRotationStarted**
Dihasilkan oleh layanan Secrets Manager saat Secrets Manager mulai menguji rotasi untuk rahasia yang tidak dijadwalkan untuk rotasi langsung. Untuk informasi tentang rotasi, lihat[Putar AWS Secrets Manager rahasia](rotating-secrets.md).
**TestRotationSucceeded**
Dihasilkan oleh layanan Secrets Manager ketika Secrets Manager berhasil menguji rotasi untuk rahasia yang tidak dijadwalkan untuk rotasi langsung. Untuk informasi tentang rotasi, lihat[Putar AWS Secrets Manager rahasia](rotating-secrets.md).
**TestRotationFailed**
Dihasilkan oleh layanan Secrets Manager ketika Secrets Manager menguji rotasi untuk rahasia yang tidak dijadwalkan untuk rotasi langsung dan rotasi gagal. Untuk informasi tentang rotasi, lihat[Memecahkan masalah rotasi AWS Secrets Manager](troubleshoot_rotation.md).
# Monitor AWS Secrets Manager dengan Amazon CloudWatch
Menggunakan Amazon CloudWatch, Anda dapat memantau AWS layanan dan membuat alarm untuk memberi tahu Anda saat metrik berubah. CloudWatch menyimpan statistik ini selama 15 bulan, sehingga Anda dapat mengakses informasi historis dan mendapatkan perspektif yang lebih baik tentang kinerja aplikasi atau layanan web Anda. Untuk AWS Secrets Manager, Anda dapat memantau jumlah rahasia di akun Anda, termasuk rahasia yang ditandai untuk dihapus, dan panggilan API ke Secrets Manager, termasuk panggilan yang dilakukan melalui konsol. Untuk informasi tentang cara memantau metrik, lihat [Menggunakan CloudWatch metrik](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) di *CloudWatch Panduan Pengguna*.
**Untuk menemukan metrik Secrets Manager**
1. Di CloudWatch konsol, di bawah **Metrik**, pilih **Semua metrik**.
1. Dalam pencarian **Metrik**, kotak, masukkan`secret`.
1. Lakukan hal-hal berikut:
+ Untuk memantau jumlah rahasia di akun Anda, pilih **AWS/SecretsManager**, lalu pilih **SecretCount**. Metrik ini diterbitkan setiap jam.
+ Untuk memantau panggilan API ke Secrets Manager, termasuk panggilan yang dilakukan melalui konsol, pilih **Usage > By AWS Resource**, lalu pilih panggilan API yang akan dipantau. Untuk mengetahui daftar Secrets Manager APIs, lihat [Operasi Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_Operations.html).
1. Lakukan hal-hal berikut:
+ Untuk membuat grafik metrik, lihat [Metrik grafik](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/graph_metrics.html) di * CloudWatch Panduan Pengguna Amazon*.
+ *Untuk mendeteksi anomali, lihat [Menggunakan deteksi CloudWatch anomali di Panduan Pengguna](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Anomaly_Detection.html) Amazon. CloudWatch *
+ Untuk mendapatkan statistik metrik, lihat [Mendapatkan statistik untuk metrik](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/getting-metric-statistics.html) di *Panduan CloudWatch Pengguna Amazon*.
## CloudWatch alarm
Anda dapat membuat CloudWatch alarm yang mengirimkan pesan Amazon SNS saat nilai metrik berubah dan menyebabkan alarm berubah status. Anda dapat mengatur alarm pada metrik Secrets Manager`ResourceCount`, yang merupakan jumlah rahasia di akun Anda. Anda juga dapat mengatur alarm pada Alarm mengawasi metrik selama periode waktu yang Anda tentukan, dan melakukan tindakan berdasarkan nilai metrik relatif terhadap ambang batas tertentu selama beberapa periode waktu. Alarm memanggil tindakan untuk perubahan status berkelanjutan saja. CloudWatch alarm tidak memanggil tindakan hanya karena mereka berada dalam keadaan tertentu; negara harus telah berubah dan dipertahankan untuk sejumlah periode tertentu.
*Untuk informasi selengkapnya, lihat [Menggunakan CloudWatch alarm Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) dan [Membuat CloudWatch alarm berdasarkan deteksi anomali di Panduan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Create_Anomaly_Detection_Alarm.html) Pengguna. CloudWatch *
Anda juga dapat mengatur alarm yang memperhatikan ambang batas tertentu dan mengirim notifikasi atau mengambil tindakan saat ambang batas tersebut terpenuhi. Untuk informasi selengkapnya, lihat [Panduan CloudWatch Pengguna Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
# Cocokkan AWS Secrets Manager acara dengan Amazon EventBridge
Di Amazon EventBridge, Anda dapat mencocokkan peristiwa Secrets Manager dari entri CloudTrail log. Anda dapat mengonfigurasi EventBridge aturan yang mencari peristiwa ini dan kemudian mengirim peristiwa baru yang dihasilkan ke target untuk mengambil tindakan. Untuk daftar CloudTrail entri yang dicatat oleh Secrets Manager, lihat[CloudTrail entri](cloudtrail_log_entries.md). Untuk petunjuk penyiapan EventBridge, lihat [Memulai EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html) di *Panduan EventBridge Pengguna*.
## Cocokkan semua perubahan dengan rahasia tertentu
**catatan**
Karena [beberapa peristiwa Secrets Manager](cloudtrail_log_entries.md) mengembalikan ARN rahasia dengan kapitalisasi yang berbeda, dalam pola acara yang cocok dengan lebih dari satu tindakan, untuk menentukan rahasia oleh ARN, Anda mungkin perlu menyertakan kunci dan. `arn` `aRN` Untuk informasi lebih lanjut, lihat [AWS re:Post](https://repost.aws/knowledge-center/secrets-manager-arn).
Contoh berikut menunjukkan pola EventBridge peristiwa yang cocok dengan entri log untuk perubahan rahasia.
```
{
"source": ["aws.secretsmanager"],
"detail-type": ["AWS API Call via CloudTrail"],
"detail": {
"eventSource": ["secretsmanager.amazonaws.com"],
"eventName": ["DeleteResourcePolicy", "PutResourcePolicy", "RotateSecret", "TagResource", "UntagResource", "UpdateSecret"],
"responseElements": {
"arn": ["arn:aws:secretsmanager:us-west-2:012345678901:secret:mySecret-a1b2c3"]
}
}
}
```
## Cocokkan acara saat nilai rahasia berputar
Contoh berikut menunjukkan pola EventBridge peristiwa yang cocok dengan entri CloudTrail log untuk perubahan nilai rahasia yang terjadi dari pembaruan manual atau rotasi otomatis. Karena beberapa peristiwa ini berasal dari operasi Secrets Manager dan beberapa dihasilkan oleh layanan Secrets Manager, Anda harus menyertakan `detail-type` untuk keduanya.
```
{
"source": ["aws.secretsmanager"],
"detail-type": [
"AWS API Call via CloudTrail",
"AWS Service Event via CloudTrail"
],
"detail": {
"eventSource": ["secretsmanager.amazonaws.com"],
"eventName": ["PutSecretValue", "UpdateSecret", "RotationSucceeded"]
}
}
```
# Pantau kapan AWS Secrets Manager rahasia yang dijadwalkan untuk dihapus diakses
Anda dapat menggunakan kombinasi AWS CloudTrail, Amazon CloudWatch Logs, dan Amazon Simple Notification Service (Amazon SNS) untuk membuat alarm yang memberi tahu Anda tentang upaya apa pun untuk mengakses penghapusan rahasia yang tertunda. Jika Anda menerima pemberitahuan dari alarm, Anda mungkin ingin membatalkan penghapusan rahasia untuk memberi diri Anda lebih banyak waktu untuk menentukan apakah Anda benar-benar ingin menghapusnya. Investigasi Anda mungkin mengakibatkan rahasia dipulihkan karena Anda masih membutuhkan rahasianya. Atau, Anda mungkin perlu memperbarui pengguna dengan rincian rahasia baru untuk digunakan.
Prosedur berikut menjelaskan cara menerima pemberitahuan ketika permintaan untuk `GetSecretValue` operasi yang menghasilkan pesan kesalahan tertentu yang ditulis ke file CloudTrail log Anda. Operasi API lainnya dapat dilakukan secara rahasia tanpa memicu alarm. CloudWatch Alarm ini mendeteksi penggunaan yang mungkin menunjukkan seseorang atau aplikasi menggunakan kredensi yang sudah ketinggalan zaman.
Sebelum memulai prosedur ini, Anda harus mengaktifkan CloudTrail akun Wilayah AWS dan tempat Anda ingin memantau permintaan AWS Secrets Manager API. Untuk instruksi, buka [Membuat jejak untuk pertama kalinya](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.
## Langkah 1: Konfigurasikan pengiriman file CloudTrail log ke CloudWatch Log
Anda harus mengonfigurasi pengiriman file CloudTrail log Anda ke CloudWatch Log. Anda melakukannya agar CloudWatch Log dapat memantau permintaan Secrets Manager API untuk mengambil penghapusan rahasia yang tertunda.
**Untuk mengonfigurasi pengiriman file CloudTrail log ke CloudWatch Log**
1. Buka CloudTrail konsol di [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Di bilah navigasi atas, pilih Wilayah AWS untuk memantau rahasia.
1. Di panel navigasi kiri, pilih **Jalur**, lalu pilih nama jejak yang akan dikonfigurasi. CloudWatch
1. Pada halaman **Konfigurasi Jalur**, gulir ke bawah ke bagian **CloudWatch Log**, lalu pilih ikon edit (![\[Remote control icon with power, volume, and channel buttons.\]](http://docs.aws.amazon.com/id_id/secretsmanager/latest/userguide/images/edit-pencil-icon.png)).
1. Untuk **grup log baru atau yang sudah ada**, ketikkan nama untuk grup log, seperti**CloudTrail/MyCloudWatchLogGroup**.
1. Untuk **peran IAM**, Anda dapat menggunakan peran default bernama **CloudTrail\$1 CloudWatchLogs \$1Role**. Peran ini memiliki kebijakan peran default dengan izin yang diperlukan untuk mengirimkan CloudTrail peristiwa ke grup log.
1. Pilih **Lanjutkan** untuk menyimpan konfigurasi Anda.
1. Pada saat **AWS CloudTrail akan mengirimkan CloudTrail peristiwa yang terkait dengan aktivitas API di akun Anda ke halaman grup CloudWatch log Log Anda**, pilih **Izinkan**.
## Langkah 2: Buat CloudWatch alarm
Untuk menerima pemberitahuan saat operasi Secrets Manager `GetSecretValue` API meminta untuk mengakses penghapusan rahasia yang tertunda, Anda harus membuat CloudWatch alarm dan mengonfigurasi notifikasi.
**Untuk membuat CloudWatch alarm**
1. Masuk ke CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di bilah navigasi atas, pilih AWS Wilayah tempat Anda ingin memantau rahasia.
1. Di panel navigasi bagian kiri, pilih **Log**.
1. Dalam daftar **Grup Log**, pilih kotak centang di samping grup log yang Anda buat dalam prosedur sebelumnya, seperti **CloudTrail/MyCloudWatchLogGroup**. Kemudian pilih **Buat Filter Metrik**.
1. Untuk **Pola Filter**, ketik atau tempel yang berikut ini:
```
{ $.eventName = "GetSecretValue" && $.errorMessage = "*secret because it was marked for deletion*" }
```
Pilih **Tetapkan Metrik**.
1. Pada halaman **Buat Metrik Filter dan Tetapkan Metrik**, lakukan hal berikut:
1. Untuk **Namespace Metrik**, ketik **CloudTrailLogMetrics**.
1. Untuk **Nama Metrik**, ketik **AttemptsToAccessDeletedSecrets**.
1. Pilih **Tampilkan pengaturan metrik lanjutan**, lalu jika perlu untuk **Nilai Metrik**, ketik**1**.
1. Pilih **Buat Filter**.
1. Dalam kotak filter, pilih **Buat Alarm**.
1. Di jendela **Buat Alarm**, lakukan hal berikut:
1. Untuk **Nama**, ketik **AttemptsToAccessDeletedSecretsAlarm**.
1. **Kapanpun:**, for **is:**, pilih **>=**, lalu ketik**1**.
1. Di samping **Kirim pemberitahuan ke:**, lakukan salah satu hal berikut:
+ Untuk membuat dan menggunakan topik Amazon SNS baru, pilih **Daftar baru**, lalu ketik nama topik baru. Untuk **Daftar email:**, ketik setidaknya satu alamat email. Anda dapat mengetik beberapa alamat email dengan memisahkannya dengan koma.
+ Untuk menggunakan topik Amazon SNS yang sudah ada, pilih nama topik yang akan digunakan. Jika daftar tidak ada, pilih **Pilih daftar**.
1. Pilih **Buat Alarm**.
## Langkah 3: Uji CloudWatch alarm
Untuk menguji alarm Anda, buat rahasia dan kemudian jadwalkan untuk dihapus. Kemudian, cobalah untuk mengambil nilai rahasia. Anda segera menerima email di alamat yang Anda konfigurasikan di alarm. Ini mengingatkan Anda untuk penggunaan rahasia yang dijadwalkan untuk dihapus.
# Memantau AWS Secrets Manager rahasia untuk kepatuhan dengan menggunakan AWS Config
Anda dapat menggunakan AWS Config untuk mengevaluasi rahasia Anda untuk melihat apakah mereka sesuai dengan standar Anda. Anda menentukan persyaratan keamanan dan kepatuhan internal Anda untuk rahasia menggunakan AWS Config aturan. Kemudian AWS Config dapat mengidentifikasi rahasia yang tidak sesuai dengan aturan Anda. Anda juga dapat melacak perubahan metadata rahasia, [konfigurasi rotasi](find-secrets-not-rotating.md), kunci KMS yang digunakan untuk enkripsi rahasia, fungsi rotasi Lambda, dan tag yang terkait dengan rahasia.
Anda dapat mengonfigurasi AWS Config untuk memberi tahu Anda tentang perubahan. Untuk informasi selengkapnya, lihat [Pemberitahuan yang AWS Config mengirim ke topik Amazon SNS](https://docs.aws.amazon.com/config/latest/developerguide/notifications-for-AWS-Config.html).
Jika Anda memiliki rahasia di beberapa Akun AWS dan Wilayah AWS di organisasi Anda, Anda dapat menggabungkan konfigurasi dan data kepatuhan tersebut. Untuk informasi selengkapnya, lihat [Agregasi data Multi-Wilayah Multi-Akun](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html).
**Untuk menilai apakah rahasia sesuai**
+ Ikuti petunjuk tentang [Mengevaluasi sumber daya Anda dengan AWS Config aturan](https://docs.aws.amazon.com/config/latest/developerguide/evaluating-your-resources.html), dan pilih salah satu aturan berikut:
+ `[secretsmanager-secret-unused](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)`— Memeriksa apakah rahasia diakses dalam jumlah hari yang ditentukan.
+ `[secretsmanager-using-cmk](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-using-cmk.html)`— Memeriksa apakah rahasia dienkripsi menggunakan Kunci yang dikelola AWS `aws/secretsmanager` atau kunci yang dikelola pelanggan yang Anda buat. AWS KMS
+ `[secretsmanager-rotation-enabled-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)`— Memeriksa apakah rotasi dikonfigurasi untuk rahasia yang disimpan di Secrets Manager.
+ `[secretsmanager-scheduled-rotation-success-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)`— Memeriksa apakah rotasi sukses terakhir berada dalam frekuensi rotasi yang dikonfigurasi. Frekuensi minimum untuk cek adalah setiap hari.
+ `[secretsmanager-secret-periodic-rotation](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)`— Memeriksa apakah rahasia diputar dalam jumlah hari yang ditentukan.
# Biaya Monitor Secrets Manager
Anda dapat menggunakan Amazon CloudWatch untuk memantau perkiraan AWS Secrets Manager biaya. Untuk informasi selengkapnya, lihat [Membuat alarm penagihan untuk memantau perkiraan AWS tagihan Anda](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/monitor_estimated_charges_with_cloudwatch.html) di *Panduan CloudWatch Pengguna*.
Pilihan lain untuk memantau biaya Anda adalah Deteksi Anomali AWS Biaya. Untuk informasi selengkapnya, lihat [Mendeteksi pengeluaran yang tidak biasa dengan Deteksi Anomali AWS Biaya](https://docs.aws.amazon.com/cost-management/latest/userguide/manage-ad.html) di Panduan Pengguna *Manajemen AWS Biaya*.
Untuk informasi tentang memantau penggunaan Secrets Manager Anda, lihat [Monitor AWS Secrets Manager dengan Amazon CloudWatch](monitoring-cloudwatch.md) dan[Log AWS Secrets Manager peristiwa dengan AWS CloudTrail](monitoring-cloudtrail.md).
Untuk informasi tentang AWS Secrets Manager harga, lihat[Harga](intro.md#asm_pricing).
# Mendeteksi ancaman dengan Amazon GuardDuty
Amazon GuardDuty adalah layanan deteksi ancaman yang membantu Anda melindungi akun, wadah, beban kerja, dan data dengan AWS lingkungan Anda. Dengan menggunakan model machine learning (ML) dan kemampuan deteksi anomali dan ancaman, GuardDuty terus memantau sumber log yang berbeda untuk mengidentifikasi dan memprioritaskan potensi risiko keamanan dan aktivitas berbahaya di lingkungan Anda. Misalnya, GuardDuty akan mendeteksi potensi ancaman seperti akses yang tidak biasa atau mencurigakan ke rahasia, dan eksfiltrasi kredenal jika mendeteksi kredensi yang dibuat secara eksklusif untuk EC2 instans Amazon melalui peran peluncuran instance tetapi digunakan dari akun lain di dalamnya. AWS Untuk informasi selengkapnya, lihat [Panduan GuardDuty Pengguna Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html).
Contoh lain kasus penggunaan untuk deteksi adalah perilaku anomali. Misalnya, jika AWS Secrets Manager biasanya mendapat`create-secret`, `get-secret-value``describe-secret`, dan `list-secrets` panggilan dari entitas yang menggunakan Java SDK, dan kemudian entitas yang berbeda mulai memanggil `batch-get-secret-value` dan `get-secret-value` menggunakan AWS CLI dari luar VPN, GuardDuty dapat melaporkan temuan bahwa entitas kedua secara anomali memanggil. APIs Untuk informasi selengkapnya, lihat [Jenis pencarian GuardDuty IAM CredentialAccess:IAMUser/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#credentialaccess-iam-anomalousbehavior).