Pantau kapan AWS Secrets Manager rahasia yang dijadwalkan untuk dihapus diakses - AWS Secrets Manager
Langkah 1: Konfigurasikan pengiriman file CloudTrail log ke CloudWatch Log Langkah 2: Buat CloudWatch alarmLangkah 3: Uji CloudWatch alarm

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pantau kapan AWS Secrets Manager rahasia yang dijadwalkan untuk dihapus diakses

Anda dapat menggunakan kombinasi AWS CloudTrail, Amazon CloudWatch Logs, dan Amazon Simple Notification Service (AmazonSNS) untuk membuat alarm yang memberi tahu Anda tentang upaya apa pun untuk mengakses penghapusan rahasia yang tertunda. Jika Anda menerima pemberitahuan dari alarm, Anda mungkin ingin membatalkan penghapusan rahasia untuk memberi diri Anda lebih banyak waktu untuk menentukan apakah Anda benar-benar ingin menghapusnya. Investigasi Anda mungkin mengakibatkan rahasia dipulihkan karena Anda masih membutuhkan rahasianya. Atau, Anda mungkin perlu memperbarui pengguna dengan rincian rahasia baru untuk digunakan.

Prosedur berikut menjelaskan cara menerima pemberitahuan ketika permintaan untuk GetSecretValue operasi yang menghasilkan pesan kesalahan tertentu yang ditulis ke file CloudTrail log Anda. APIOperasi lain dapat dilakukan secara rahasia tanpa memicu alarm. CloudWatch Alarm ini mendeteksi penggunaan yang mungkin menunjukkan seseorang atau aplikasi menggunakan kredensi yang sudah ketinggalan zaman.

Sebelum Anda memulai prosedur ini, Anda harus mengaktifkan CloudTrail akun Wilayah AWS dan tempat Anda ingin memantau AWS Secrets Manager API permintaan. Untuk instruksi, buka Membuat jejak untuk pertama kalinya di Panduan AWS CloudTrail Pengguna.

Langkah 1: Konfigurasikan pengiriman file CloudTrail log ke CloudWatch Log

Anda harus mengonfigurasi pengiriman file CloudTrail log Anda ke CloudWatch Log. Anda melakukan ini agar CloudWatch Log dapat memonitornya untuk API permintaan Secrets Manager untuk mengambil penghapusan rahasia yang tertunda.

Untuk mengonfigurasi pengiriman file CloudTrail log ke CloudWatch Log

  1. Buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/.

  2. Di bilah navigasi atas, pilih Wilayah AWS untuk memantau rahasia.

  3. Di panel navigasi kiri, pilih Jalur, lalu pilih nama jejak yang akan dikonfigurasi. CloudWatch

  4. Pada halaman Konfigurasi Jalur, gulir ke bawah ke bagian CloudWatch Log, lalu pilih ikon edit ( Remote control icon with power, volume, and channel buttons. ).

  5. Untuk grup log baru atau yang sudah ada, ketikkan nama untuk grup log, sepertiCloudTrail/MyCloudWatchLogGroup.

  6. Untuk IAMperan, Anda dapat menggunakan peran default bernama CloudTrail_ CloudWatchLogs _Role. Peran ini memiliki kebijakan peran default dengan izin yang diperlukan untuk mengirimkan CloudTrail peristiwa ke grup log.

  7. Pilih Lanjutkan untuk menyimpan konfigurasi Anda.

  8. Pada saat AWS CloudTrail akan mengirimkan CloudTrail peristiwa yang terkait dengan API aktivitas di akun Anda ke halaman grup CloudWatch log Log Anda, pilih Izinkan.

Langkah 2: Buat CloudWatch alarm

Untuk menerima pemberitahuan ketika GetSecretValue API operasi Secrets Manager meminta untuk mengakses penghapusan rahasia yang tertunda, Anda harus membuat CloudWatch alarm dan mengonfigurasi notifikasi.

Untuk membuat CloudWatch alarm

  1. Masuk ke CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Di bilah navigasi atas, pilih AWS Wilayah tempat Anda ingin memantau rahasia.

  3. Di panel navigasi bagian kiri, pilih Log.

  4. Dalam daftar Grup Log, pilih kotak centang di samping grup log yang Anda buat dalam prosedur sebelumnya, seperti CloudTrail/MyCloudWatchLogGroup. Kemudian pilih Buat Filter Metrik.

  5. Untuk Pola Filter, ketik atau tempel yang berikut ini:

    { $.eventName = "GetSecretValue" && $.errorMessage = "*secret because it was marked for deletion*" }

    Pilih Tetapkan Metrik.

  6. Pada halaman Buat Metrik Filter dan Tetapkan Metrik, lakukan hal berikut:

    1. Untuk Namespace Metrik, ketik CloudTrailLogMetrics.

    2. Untuk Nama Metrik, ketik AttemptsToAccessDeletedSecrets.

    3. Pilih Tampilkan pengaturan metrik lanjutan, lalu jika perlu untuk Nilai Metrik, ketik1.

    4. Pilih Buat Filter.

  7. Dalam kotak filter, pilih Buat Alarm.

  8. Di jendela Buat Alarm, lakukan hal berikut:

    1. Untuk Nama, ketik AttemptsToAccessDeletedSecretsAlarm.

    2. Kapanpun:, for is:, pilih >=, lalu ketik1.

    3. Di samping Kirim pemberitahuan ke:, lakukan salah satu hal berikut:

      • Untuk membuat dan menggunakan SNS topik Amazon baru, pilih Daftar baru, lalu ketik nama topik baru. Untuk Daftar email:, ketik setidaknya satu alamat email. Anda dapat mengetik beberapa alamat email dengan memisahkannya dengan koma.

      • Untuk menggunakan SNS topik Amazon yang ada, pilih nama topik yang akan digunakan. Jika daftar tidak ada, pilih Pilih daftar.

    4. Pilih Buat Alarm.

Langkah 3: Uji CloudWatch alarm

Untuk menguji alarm Anda, buat rahasia dan kemudian jadwalkan untuk dihapus. Kemudian, cobalah untuk mengambil nilai rahasia. Anda segera menerima email di alamat yang Anda konfigurasikan di alarm. Ini mengingatkan Anda untuk penggunaan rahasia yang dijadwalkan untuk dihapus.