Archiviazione delle credenziali di PagerDuty accesso in modo segreto AWS Secrets Manager - Incident Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Archiviazione delle credenziali di PagerDuty accesso in modo segreto AWS Secrets Manager

Dopo aver attivato l'integrazione con PagerDuty for a response plan, Incident Manager funziona nei seguenti modi: PagerDuty

  • Incident Manager crea un incidente corrispondente PagerDuty quando si crea un nuovo incidente in Incident Manager.

  • Il flusso di lavoro di paging e le politiche di escalation create PagerDuty vengono utilizzate nell'ambiente. PagerDuty Tuttavia, Incident Manager non importa la configurazione. PagerDuty

  • Incident Manager pubblica gli eventi della timeline come note relative all'incidente in PagerDuty, fino a un massimo di 2.000 note.

  • È possibile scegliere di risolvere automaticamente PagerDuty gli incidenti quando si risolve l'incidente correlato in Incident Manager.

Per integrare Incident Manager con PagerDuty, devi prima creare un file segreto AWS Secrets Manager che contenga PagerDuty le tue credenziali. Questi consentono a Incident Manager di comunicare con il PagerDuty servizio dell'utente. È quindi possibile includere un PagerDuty servizio nei piani di risposta creati in Incident Manager.

Questo segreto creato in Secrets Manager deve contenere, nel formato JSON corretto, quanto segue:

  • Una chiave API dal tuo PagerDuty account. Puoi utilizzare una chiave API REST di accesso generale o una chiave API REST con token utente.

  • Un indirizzo email utente valido del tuo PagerDuty sottodominio.

  • L'area PagerDuty di servizio in cui hai distribuito il sottodominio.

    Nota

    Tutti i servizi in un PagerDuty sottodominio vengono distribuiti nella stessa area di servizio.

Prerequisiti

Prima di creare il segreto in Secrets Manager, assicuratevi di soddisfare i seguenti requisiti.

Chiave KMS

È necessario crittografare il segreto creato con una chiave gestita dal cliente creata in AWS Key Management Service (AWS KMS). Specificate questa chiave quando create il segreto che memorizza le vostre PagerDuty credenziali.

Importante

Secrets Manager offre la possibilità di crittografare il segreto con una Chiave gestita da AWS, ma questa modalità di crittografia non è supportata.

La chiave gestita dal cliente deve soddisfare i seguenti requisiti:

  • Tipo di chiave: scegli Symmetric.

  • Utilizzo della chiave: scegli Crittografa e decrittografa.

  • Regionalità: se desideri replicare il tuo piano di risposta su più livelli Regioni AWS, assicurati di selezionare la chiave multiregionale.

     

Policy delle chiavi

L'utente che sta configurando il piano di risposta deve disporre dell'autorizzazione per kms:GenerateDataKey e kms:Decrypt nella politica basata sulle risorse della chiave. Il responsabile del ssm-incidents.amazonaws.com servizio deve disporre dell'autorizzazione per kms:GenerateDataKey e kms:Decrypt nella politica basata sulle risorse della chiave.

La seguente politica illustra queste autorizzazioni. Sostituisci ciascun placeholder input dell'utente con le tue informazioni.

{
    "Version": "2012-10-17",
    "Id": "key-consolepolicy-3",
    "Statement": [
        {
            "Sid": "Enable IAM user permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow creator of response plan to use the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "IAM_ARN_of_principal_creating_response_plan"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow Incident Manager to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm-incidents.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        }
    ]
}

Per informazioni sulla creazione di una nuova chiave gestita dal cliente, consulta Creazione di chiavi KMS con crittografia simmetrica nella Guida per gli sviluppatori. AWS Key Management Service Per ulteriori informazioni sulle AWS KMS chiavi, consulta i concetti. AWS KMS

Se una chiave gestita dal cliente esistente soddisfa tutti i requisiti precedenti, puoi modificarne la politica per aggiungere queste autorizzazioni. Per informazioni sull'aggiornamento della politica in una chiave gestita dal cliente, consulta Modifica di una politica chiave nella Guida per gli AWS Key Management Service sviluppatori.

Suggerimento

È possibile specificare una chiave condizionale per limitare ulteriormente l'accesso. Ad esempio, la seguente politica consente l'accesso tramite Secrets Manager solo nella regione Stati Uniti orientali (Ohio) (us-east-2):

{
    "Sid": "Enable IM Permissions",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-incidents.amazonaws.com"
    },
    "Action": ["kms:Decrypt", "kms:GenerateDataKey*"],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com"
        }
    }
}
GetSecretValueautorizzazione

L'identità IAM (utente, ruolo o gruppo) che crea il piano di risposta deve disporre dell'autorizzazione IAMsecretsmanager:GetSecretValue.

Per archiviare le credenziali di PagerDuty accesso in un luogo segreto AWS Secrets Manager

  1. Segui i passaggi del Passaggio 3a in Creare un AWS Secrets Manager segreto nella Guida per l'AWS Secrets Manager utente.

  2. Per il passaggio 3b, per le coppie chiave/valore, procedi come segue:

    • Scegliete la scheda Plaintext.

    • Sostituisci il contenuto predefinito della casella con la seguente struttura JSON:

      {
    "pagerDutyToken": "pagerduty-token",
    "pagerDutyServiceRegion": "pagerduty-region",
    "pagerDutyFromEmail": "pagerduty-email"
}

    • Nell'esempio JSON che hai incollato, sostituisci i valori segnaposto come segue:

      • pagerduty-token: il valore di una chiave API REST di accesso generale o di una chiave API REST del token utente del tuo account. PagerDuty

        Per informazioni correlate, consulta API Access Keys nella Knowledge Base. PagerDuty

      • pagerduty-region: l'area di servizio del PagerDuty data center che ospita il sottodominio. PagerDuty

        Per informazioni correlate, vedere Regioni di servizio nella Knowledge Base. PagerDuty

      • pagerduty-email: l'indirizzo email valido per un utente che appartiene al tuo sottodominio. PagerDuty

        Per informazioni correlate, consulta Gestire gli utenti nella Knowledge Base. PagerDuty

      L'esempio seguente mostra un segreto JSON completato contenente le PagerDuty credenziali richieste:

      {
    "pagerDutyToken": "y_NbAkKc66ryYEXAMPLE",
    "pagerDutyServiceRegion": "US",
    "pagerDutyFromEmail": "JohnDoe@example.com"
}

  3. Nel passaggio 3c, per la chiave di crittografia, scegliete una chiave gestita dal cliente che avete creato che soddisfi i requisiti elencati nella precedente sezione Prerequisiti.

  4. Nel passaggio 4c, per le autorizzazioni relative alle risorse, procedi come segue:

    • Espandi le autorizzazioni per le risorse.

    • Scegli Modifica autorizzazioni.

    • Sostituisci il contenuto predefinito della policy box con la seguente struttura JSON:

      {
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-incidents.amazonaws.com"
    },
    "Action": "secretsmanager:GetSecretValue",
    "Resource": "*"
}

    • Selezionare Salva.

  5. Nel passaggio 4d, per Replicate secret, procedi come segue se il piano di risposta è stato replicato su più di uno: Regione AWS

    • Espandi Replicate secret.

    • Per Regione AWS, seleziona la regione in cui hai replicato il tuo piano di risposta.

    • Per la chiave di crittografia, scegli una chiave gestita dal cliente che hai creato o replicato in questa regione che soddisfi i requisiti elencati nella sezione Prerequisiti.

    • Per ogni area aggiuntiva Regione AWS, scegli Aggiungi regione e seleziona il nome della regione e la chiave gestita dal cliente.

  6. Completa i passaggi rimanenti in Creare un AWS Secrets Manager segreto nella Guida AWS Secrets Manager per l'utente.

Per informazioni su come aggiungere un PagerDuty servizio a un flusso di lavoro relativo agli incidenti di Incident Manager, vedi Integrazione di un PagerDuty servizio nel piano di risposta nell'argomentoCreazione di un piano di risposta.

Informazioni correlate

Come automatizzare la risposta agli incidenti con PagerDuty and AWS Systems Manager Incident Manager (blog Cloud AWS Operations and Migrations)

Crittografia segreta AWS Secrets Manager nella Guida per l'utente AWS Secrets Manager