Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Monitora Gestione dei segreti AWS i segreti
AWS fornisce strumenti di monitoraggio per controllare i segreti di Secrets Manager, segnalare quando qualcosa non va e intraprendere azioni automatiche quando necessario. Puoi usare il registro per analizzare qualsiasi modifica o utilizzo imprevisto e le modifiche indesiderate possono essere annullate. È inoltre possibile impostare dei controlli automatici per l'uso inappropriato dei segreti e per qualsiasi tentativo di eliminarli.
**Topics**
+ [Accedi con AWS CloudTrail](monitoring-cloudtrail.md)
+ [Monitora con CloudWatch](monitoring-cloudwatch.md)
+ [Abbina gli eventi di Secrets Manager con EventBridge](monitoring-eventbridge.md)
+ [Monitorare segreti programmati per l'eliminazione](monitoring_cloudwatch_deleted-secrets.md)
+ [Monitora i segreti ai fini della conformità](configuring-awsconfig-rules.md)
+ [
# Monitora i costi di Secrets Manager
](monitor-secretsmanager-costs.md)
+ [Rileva le minacce con GuardDuty](monitoring-guardduty.md)
# Registra Gestione dei segreti AWS gli eventi con AWS CloudTrail
AWS CloudTrail registra tutte le chiamate API per Secrets Manager come eventi, incluse le chiamate dalla console Secrets Manager, oltre a diversi altri eventi per la rotazione e l'eliminazione di versioni segrete. Per un elenco delle voci di registro nei record di Secrets Manager, vedere[CloudTrail voci](cloudtrail_log_entries.md).
È possibile utilizzare la CloudTrail console per visualizzare gli ultimi 90 giorni di eventi registrati. Per una registrazione continua degli eventi nel tuo AWS account, inclusi gli eventi per Secrets Manager, crea un percorso in modo che CloudTrail invii i file di registro a un bucket Amazon S3. Vedi [Creazione di un percorso per il tuo AWS account](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html). Puoi anche configurare la ricezione CloudTrail di file di CloudTrail registro da [più Account AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) e [Regioni AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html).
È possibile configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati raccolti nei CloudTrail log. Visualizza le [integrazioni AWS dei servizi con CloudTrail i log](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations). Puoi anche ricevere notifiche quando CloudTrail pubblica nuovi file di log nel tuo bucket Amazon S3. Consulta [Configurazione delle notifiche di Amazon SNS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html) per. CloudTrail
**Per recuperare gli eventi di Secrets Manager dai CloudTrail registri (console)**
1. Apri la CloudTrail console all'indirizzo. [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)
1. Assicurati che la console punti alla regione in cui si sono verificati gli eventi. La console mostra solo gli eventi che si sono verificati nella regione selezionata. Scegli la regione dall'elenco a discesa nell'angolo in alto a destra della console.
1. Nel riquadro di navigazione a sinistra, seleziona **Event history (Cronologia eventi)**.
1. Scegli **Filtra** i criteri and/or e l'**intervallo di tempo** per aiutarti a trovare l'evento che stai cercando. Esempio:
1. Per visualizzare tutti gli eventi di Secrets Manager, per **gli attributi di ricerca**, scegli **Origine evento**. Quindi per **Enter event source (Inserisci origine evento)** scegli **secretsmanager.amazonaws.com**.
1. Per visualizzare tutti gli eventi relativi a un segreto, per **gli attributi di ricerca**, scegli Nome **risorsa**. Quindi, per **Inserisci il nome di una risorsa**, inserisci il nome del segreto.
1. Per visualizzare ulteriori dettagli, scegli la freccia di espansione accanto all'evento. Per visualizzare tutte le informazioni disponibili, scegli **View event (Visualizza evento)**.
## AWS CLI
**Example Recupera gli eventi di Secrets Manager dai registri CloudTrail**
L'esempio di [https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html) seguente mostra la ricerca degli eventi di Secrets Manager.
```
aws cloudtrail lookup-events \
--region us-east-1 \
--lookup-attributes AttributeKey=EventSource,AttributeValue=secretsmanager.amazonaws.com
```
# AWS CloudTrail iscrizioni per Secrets Manager
Gestione dei segreti AWS scrive le voci nel AWS CloudTrail registro per tutte le operazioni di Secrets Manager e per altri eventi relativi alla rotazione e all'eliminazione. Per informazioni su come intervenire su questi eventi, consulta [Abbina gli eventi di Secrets Manager con EventBridge](monitoring-eventbridge.md).
**Topics**
+ [
## Voce del file di log per le operazioni di Secrets Manager
](#cloudtrail_log_entries_operations)
+ [
## Registra le voci del file di log da eliminare
](#cloudtrail_log_entries_deletion)
+ [
## Voci di log per la replica
](#cloudtrail_log_entries_replication)
+ [
## Registra le voci del file di log per la rotazione
](#cloudtrail_log_entries_rotation)
## Voce del file di log per le operazioni di Secrets Manager
Gli eventi generati dalle chiamate alle operazioni di Secrets Manager hanno `"detail-type": ["AWS API Call via CloudTrail"]`.
**Nota**
Prima di febbraio 2024, alcune operazioni di Secrets Manager segnalavano eventi che contenevano «ArN» anziché "arn" per l'ARN segreto. Per ulteriori informazioni, consulta [AWS re:Post](https://repost.aws/knowledge-center/secrets-manager-arn).
Di seguito sono riportate le CloudTrail voci generate quando l'utente o un servizio richiama le operazioni di Secrets Manager tramite API, SDK o CLI.
**BatchGetSecretValue**
Generato dall'operazione. [BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html) Per ulteriori informazioni sul recupero dei segreti, consulta [Ottieni segreti da Gestione dei segreti AWS](retrieving-secrets.md).
**CancelRotateSecret**
Generato dall'[CancelRotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CancelRotateSecret.html)operazione. Per ulteriori informazioni sulla rotazione, consulta [Ruota i segreti Gestione dei segreti AWS](rotating-secrets.md).
**CreateSecret**
Generato dall'[CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)operazione. Per ulteriori informazioni sulla creazione di un segreto, consulta [Gestisci i segreti con Gestione dei segreti AWS](managing-secrets.md).
**DeleteResourcePolicy**
Generato dall'[DeleteResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteResourcePolicy.html)operazione. Per informazioni sulle autorizzazioni, consulta [Autenticazione e controllo degli accessi per Gestione dei segreti AWS](auth-and-access.md).
**DeleteSecret**
Generato dall'[DeleteSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteSecret.html)operazione. Per informazioni sull'eliminazione dei segreti, consulta [Eliminare un Gestione dei segreti AWS segreto](manage_delete-secret.md).
**DescribeSecret**
Generato dall'[DescribeSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html)operazione.
**GetRandomPassword**
Generato dall'[GetRandomPassword](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetRandomPassword.html)operazione.
**GetResourcePolicy**
Generato dall'[GetResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html)operazione. Per informazioni sulle autorizzazioni, consulta [Autenticazione e controllo degli accessi per Gestione dei segreti AWS](auth-and-access.md).
**GetSecretValue**
Generato dalle [BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html)operazioni [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html)e. Per ulteriori informazioni sul recupero dei segreti, consulta [Ottieni segreti da Gestione dei segreti AWS](retrieving-secrets.md).
**ListSecrets**
Generato dall'[ListSecrets](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecrets.html)operazione. Per ulteriori informazioni sulla visualizzazione dei segreti, consulta [Trova segreti in Gestione dei segreti AWS](manage_search-secret.md).
**ListSecretVersionIds**
Generato dall'[ListSecretVersionIds](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecretVersionIds.html)operazione.
**PutResourcePolicy**
Generato dall'[PutResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html)operazione. Per informazioni sulle autorizzazioni, consulta [Autenticazione e controllo degli accessi per Gestione dei segreti AWS](auth-and-access.md).
**PutSecretValue**
Generato dall'[PutSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutSecretValue.html)operazione. Per ulteriori informazioni sull'aggiornamento di un segreto, consulta [Modifica un Gestione dei segreti AWS segreto](manage_update-secret.md).
**RemoveRegionsFromReplication**
Generato dall'[RemoveRegionsFromReplication](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RemoveRegionsFromReplication.html)operazione. Per ulteriori informazioni sulla replica di un segreto, consulta [Replica i Gestione dei segreti AWS segreti in tutte le regioni](replicate-secrets.md).
**ReplicateSecretToRegions**
Generato dall'[ReplicateSecretToRegions](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html)operazione. Per ulteriori informazioni sulla replica di un segreto, consulta [Replica i Gestione dei segreti AWS segreti in tutte le regioni](replicate-secrets.md).
**RestoreSecret**
Generato dall'[RestoreSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RestoreSecret.html)operazione. Per informazioni sul ripristino di un segreto eliminato, consulta [Ripristina un Gestione dei segreti AWS segreto](manage_restore-secret.md).
**RotateSecret**
Generato dall'[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)operazione. Per ulteriori informazioni sulla rotazione, consulta [Ruota i segreti Gestione dei segreti AWS](rotating-secrets.md).
**StopReplicationToReplica**
Generato dall'[StopReplicationToReplica](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html)operazione. Per ulteriori informazioni sulla replica di un segreto, consulta [Replica i Gestione dei segreti AWS segreti in tutte le regioni](replicate-secrets.md).
**TagResource**
Generato dall'[TagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_TagResource.html)operazione. Per informazioni su come aggiungere un tag a un segreto, consulta [Taggare i segreti in Gestione dei segreti AWS](managing-secrets_tagging.md).
**UntagResource**
Generato dall'[UntagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UntagResource.html)operazione. Per informazioni su come eliminare il tag di un segreto, consulta [Taggare i segreti in Gestione dei segreti AWS](managing-secrets_tagging.md).
**UpdateSecret**
Generato dall'[UpdateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecret.html)operazione. Per ulteriori informazioni sull'aggiornamento di un segreto, consulta [Modifica un Gestione dei segreti AWS segreto](manage_update-secret.md).
**UpdateSecretVersionStage**
Generato dall'[UpdateSecretVersionStage](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecretVersionStage.html)operazione. Per ulteriori informazioni sulle fasi di una versione, consulta [Versioni segrete](whats-in-a-secret.md#term_version).
**ValidateResourcePolicy**
Generato dall'[ValidateResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ValidateResourcePolicy.html)operazione. Per informazioni sulle autorizzazioni, consulta [Autenticazione e controllo degli accessi per Gestione dei segreti AWS](auth-and-access.md).
## Registra le voci del file di log da eliminare
Oltre agli eventi per le operazioni di Secrets Manager, Secrets Manager genera i seguenti eventi relativi alla cancellazione. Questi eventi hanno `"detail-type": ["AWS Service Event via CloudTrail"]`.
**CancelSecretVersionDelete**
Generato dal servizio Secrets Manager. Se chiami `DeleteSecret` su un segreto che ha delle versioni e successivamente chiami `RestoreSecret`, Secrets Manager registra nel file di log questo evento per ogni versione del segreto ripristinata. Per informazioni sul ripristino di un segreto eliminato, consulta [Ripristina un Gestione dei segreti AWS segreto](manage_restore-secret.md).
**EndSecretVersionDelete**
Generato dal servizio Secrets Manager quando viene eliminata una versione del segreto. Per ulteriori informazioni, consulta [Eliminare un Gestione dei segreti AWS segreto](manage_delete-secret.md).
**StartSecretVersionDelete**
Generato dal servizio Secrets Manager quando Secrets Manager avvia l'eliminazione di una versione del segreto. Per informazioni sull'eliminazione dei segreti, consulta [Eliminare un Gestione dei segreti AWS segreto](manage_delete-secret.md).
**SecretVersionDeletion**
Generato dal servizio Secrets Manager quando Secrets Manager elimina una versione del segreto obsoleta. Per ulteriori informazioni, consulta [Versioni del segreto](whats-in-a-secret.md#term_version).
## Voci di log per la replica
Oltre agli eventi per le operazioni di Secrets Manager, Secrets Manager genera i seguenti eventi relativi alla replica. Questi eventi hanno `"detail-type": ["AWS Service Event via CloudTrail"]`.
**ReplicationFailed**
Generato dal servizio Secrets Manager quando la replica fallisce. Per ulteriori informazioni sulla replica di un segreto, consulta [Replica i Gestione dei segreti AWS segreti in tutte le regioni](replicate-secrets.md).
**ReplicationStarted**
Generato dal servizio Secrets Manager quando Secrets Manager inizia a replicare un segreto. Per ulteriori informazioni sulla replica di un segreto, consulta [Replica i Gestione dei segreti AWS segreti in tutte le regioni](replicate-secrets.md).
**ReplicationSucceeded**
Generato dal servizio Secrets Manager quando un segreto viene replicato correttamente. Per ulteriori informazioni sulla replica di un segreto, consulta [Replica i Gestione dei segreti AWS segreti in tutte le regioni](replicate-secrets.md).
## Registra le voci del file di log per la rotazione
Oltre agli eventi per le operazioni di Secrets Manager, Secrets Manager genera i seguenti eventi relativi alla rotazione. Questi eventi hanno `"detail-type": ["AWS Service Event via CloudTrail"]`.
**RotationStarted**
Generato dal servizio Secrets Manager quando Secrets Manager inizia a ruotare un segreto. Per ulteriori informazioni sulla rotazione, consulta [Ruota i segreti Gestione dei segreti AWS](rotating-secrets.md).
**RotationAbandoned**
Generato dal servizio Secrets Manager quando Secrets Manager abbandona un tentativo di rotazione e rimuove l'etichetta `AWSPENDING` da una versione esistente di un segreto. Secrets Manager abbandona la rotazione quando crei una nuova versione di un segreto durante la rotazione. Per ulteriori informazioni sulla rotazione, consulta [Ruota i segreti Gestione dei segreti AWS](rotating-secrets.md).
**RotationFailed**
Generato dal servizio Secrets Manager quando la rotazione fallisce. Per ulteriori informazioni sulla rotazione, consulta [Risolvi i problemi Gestione dei segreti AWS di rotazione](troubleshoot_rotation.md).
**RotationSucceeded**
Generato dal servizio Secrets Manager quando un segreto viene ruotato correttamente. Per ulteriori informazioni sulla rotazione, consulta [Ruota i segreti Gestione dei segreti AWS](rotating-secrets.md).
**TestRotationStarted**
Generato dal servizio Secrets Manager quando Secrets Manager inizia il test della rotazione per un segreto che non è pianificato per la rotazione immediata. Per ulteriori informazioni sulla rotazione, consulta [Ruota i segreti Gestione dei segreti AWS](rotating-secrets.md).
**TestRotationSucceeded**
Generato dal servizio Secrets Manager quando Secrets Manager esegue correttamente il test della rotazione per un segreto che non è pianificato per la rotazione immediata. Per ulteriori informazioni sulla rotazione, consulta [Ruota i segreti Gestione dei segreti AWS](rotating-secrets.md).
**TestRotationFailed**
Generato dal servizio Secrets Manager quando Secrets Manager esegue il test della rotazione per un segreto che non è pianificato per la rotazione immediata e la rotazione non riesce. Per ulteriori informazioni sulla rotazione, consulta [Risolvi i problemi Gestione dei segreti AWS di rotazione](troubleshoot_rotation.md).
# Monitora Gestione dei segreti AWS con Amazon CloudWatch
Con Amazon CloudWatch, puoi monitorare AWS i servizi e creare allarmi per farti sapere quando le metriche cambiano. CloudWatch conserva queste statistiche per 15 mesi, in modo da poter accedere alle informazioni storiche e avere una prospettiva migliore sulle prestazioni della tua applicazione o del tuo servizio web. In Gestione dei segreti AWS effetti, puoi monitorare il numero di segreti nel tuo account, inclusi i segreti contrassegnati per l'eliminazione e le chiamate API a Secrets Manager, comprese le chiamate effettuate tramite la console. Per informazioni su come monitorare le metriche, consulta [Utilizzare le CloudWatch metriche nella Guida](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) per l'*CloudWatch utente*.
**Per trovare le metriche di Secrets Manager**
1. Sulla CloudWatch console, in **Metriche, scegli **Tutte le** metriche**.
1. Nella casella di ricerca **Metriche**, inserisci. `secret`
1. Esegui questa operazione:
+ Per monitorare il numero di segreti presenti nel tuo account, scegli **AWS/SecretsManager**, quindi seleziona **SecretCount**. Questa metrica viene pubblicata ogni ora.
+ Per monitorare le chiamate API a Secrets Manager, incluse le chiamate effettuate tramite la console, scegli **Utilizzo > Per AWS risorsa**, quindi seleziona le chiamate API da monitorare. Per un elenco di Secrets Manager APIs, consulta [Operazioni di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_Operations.html).
1. Esegui questa operazione:
+ Per creare un grafico della metrica, consulta [Graphing metrics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/graph_metrics.html) nella *Amazon CloudWatch * User Guide.
+ Per rilevare anomalie, consulta [Using CloudWatch anomaly detection](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Anomaly_Detection.html) nella *Amazon CloudWatch * User Guide.
+ Per ottenere statistiche per una metrica, consulta [Get statistics for a metric](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/getting-metric-statistics.html) nella *Amazon CloudWatch User* Guide.
## CloudWatch allarmi
Puoi creare un CloudWatch allarme che invia un messaggio Amazon SNS quando il valore di una metrica cambia e fa cambiare stato all'allarme. Puoi impostare un allarme sulla metrica Secrets Manager`ResourceCount`, che è il numero di segreti nel tuo account. Puoi anche impostare allarmi su Un allarme controlla una metrica in un periodo di tempo specificato ed esegue azioni in base al valore della metrica relativo a una determinata soglia in un certo numero di periodi di tempo. Gli allarmi richiamano azioni solo per cambiamenti di stato sostenuti. CloudWatch gli allarmi non richiamano azioni semplicemente perché si trovano in uno stato particolare; lo stato deve essere cambiato e mantenuto per un determinato numero di periodi.
Per ulteriori informazioni, consulta [Usare gli CloudWatch allarmi Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) e [Creare un CloudWatch allarme basato sul rilevamento delle anomalie nella Guida](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Create_Anomaly_Detection_Alarm.html) per l'*CloudWatch utente*.
È anche possibile impostare allarmi che controllano determinate soglie e inviare notifiche o intraprendere azioni quando queste soglie vengono raggiunte. Per ulteriori informazioni, consulta la [Amazon CloudWatch User Guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
# Abbina Gestione dei segreti AWS gli eventi con Amazon EventBridge
In Amazon EventBridge, puoi abbinare gli eventi di Secrets Manager dalle voci di CloudTrail registro. Puoi configurare EventBridge regole che cercano questi eventi e quindi inviano i nuovi eventi generati a un target affinché agisca. Per un elenco delle CloudTrail voci registrate da Secrets Manager, vedere[CloudTrail voci](cloudtrail_log_entries.md). Per istruzioni sulla configurazione EventBridge, consulta Guida [introduttiva EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html) nella *Guida per l'EventBridge utente*.
## Associa tutte le modifiche a un segreto specificato
**Nota**
Poiché [alcuni eventi di Secrets Manager](cloudtrail_log_entries.md) restituiscono l'ARN del segreto con lettere maiuscole diverse, nei modelli di eventi che corrispondono a più di un'azione, per specificare un segreto tramite ARN, potrebbe essere necessario includere sia le chiavi `arn` che `aRN`. Per ulteriori informazioni, consulta [AWS re:Post](https://repost.aws/knowledge-center/secrets-manager-arn).
L'esempio seguente mostra uno schema di EventBridge eventi che corrisponde alle voci di registro relative alle modifiche a un segreto.
```
{
"source": ["aws.secretsmanager"],
"detail-type": ["AWS API Call via CloudTrail"],
"detail": {
"eventSource": ["secretsmanager.amazonaws.com"],
"eventName": ["DeleteResourcePolicy", "PutResourcePolicy", "RotateSecret", "TagResource", "UntagResource", "UpdateSecret"],
"responseElements": {
"arn": ["arn:aws:secretsmanager:us-west-2:012345678901:secret:mySecret-a1b2c3"]
}
}
}
```
## Abbina gli eventi quando un valore segreto ruota
L'esempio seguente mostra uno schema di EventBridge eventi che corrisponde alle voci di CloudTrail registro per le modifiche ai valori segreti che si verificano in seguito agli aggiornamenti manuali o alla rotazione automatica. Poiché alcuni di questi eventi derivano dalle operazioni di Secrets Manager e altri sono generati dal servizio Secrets Manager, è necessario includere il `detail-type` per entrambi.
```
{
"source": ["aws.secretsmanager"],
"detail-type": [
"AWS API Call via CloudTrail",
"AWS Service Event via CloudTrail"
],
"detail": {
"eventSource": ["secretsmanager.amazonaws.com"],
"eventName": ["PutSecretValue", "UpdateSecret", "RotationSucceeded"]
}
}
```
# Monitora l'accesso ai Gestione dei segreti AWS segreti programmati per l'eliminazione
Puoi utilizzare una combinazione di AWS CloudTrail Amazon CloudWatch Logs e Amazon Simple Notification Service (Amazon SNS) per creare un allarme che ti avvisi di qualsiasi tentativo di accesso a un'eliminazione segreta in sospeso. Se ricevi una notifica mediante un allarme, puoi annullare l'eliminazione del segreto per avere più tempo per stabilire se vuoi effettivamente eliminarlo. La tua indagine potrebbe determinare il ripristino del segreto, se questo si rivela ancora effettivamente necessario. In alternativa, potrebbe essere necessario aggiornare l'utente con i dettagli del nuovo segreto da utilizzare.
Le seguenti procedure spiegano come ricevere una notifica quando una richiesta di `GetSecretValue` operazione genera un messaggio di errore specifico nei file di registro. CloudTrail Altre operazioni API possono essere eseguite sul segreto senza attivare l'allarme. Questo CloudWatch allarme rileva un utilizzo che potrebbe indicare che una persona o un'applicazione utilizza credenziali obsolete.
Prima di iniziare queste procedure, è necessario attivare l'account Regione AWS and CloudTrail in cui si intende monitorare Gestione dei segreti AWS le richieste API. Per istruzioni, consulta [Creazione di un Trail per la prima volta](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *AWS CloudTrail Guida per l'utente*.
## Passaggio 1: configurare la consegna dei file di CloudTrail registro a CloudWatch Logs
È necessario configurare la consegna dei file di CloudTrail registro ai CloudWatch registri. Lo fai in modo che CloudWatch Logs possa monitorarli per le richieste API di Secrets Manager per recuperare un segreto in attesa di eliminazione.
**Per configurare la consegna dei file di CloudTrail registro a Logs CloudWatch**
1. Apri la CloudTrail console all'indirizzo [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Nella barra di navigazione in alto, scegli Regione AWS per monitorare i segreti.
1. Nel riquadro di navigazione a sinistra, scegli **Percorsi**, quindi scegli il nome del percorso per cui configurare CloudWatch.
1. Nella pagina di **configurazione dei percorsi**, scorri verso il basso fino alla sezione **CloudWatch Registri**, quindi scegli l'icona di modifica (![\[Remote control icon with power, volume, and channel buttons.\]](http://docs.aws.amazon.com/it_it/secretsmanager/latest/userguide/images/edit-pencil-icon.png)).
1. Per un **New or existing log group (Gruppo nuovo o esistente di log)**, digita un nome per il gruppo di log, ad esempio **CloudTrail/MyCloudWatchLogGroup**.
1. Per il **ruolo IAM**, puoi utilizzare il ruolo predefinito denominato **CloudTrail\$1 CloudWatchLogs \$1Role**. Questo ruolo ha una politica di ruolo predefinita con le autorizzazioni necessarie per fornire CloudTrail eventi al gruppo di log.
1. Scegli **Continue** (Continua) per salvare la configurazione.
1. **Nella pagina del **gruppo di log CloudWatch Logs CloudTrail gli eventi associati all'attività delle API del tuo account AWS CloudTrail verranno** inviati, scegli Consenti.**
## Fase 2: Creare l'allarme CloudWatch
Per ricevere una notifica quando un'operazione dell'`GetSecretValue`API Secrets Manager richiede di accedere a un segreto in attesa di eliminazione, è necessario creare un CloudWatch allarme e configurare la notifica.
**Per creare un allarme CloudWatch**
1. Accedi alla CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nella barra di navigazione in alto, scegli la AWS regione in cui desideri monitorare i segreti.
1. Nel pannello di navigazione a sinistra, scegli **Logs (Log)**.
1. Nell'elenco dei **gruppi di log**, seleziona la casella di controllo accanto al gruppo di log creato nella procedura precedente, ad esempio **CloudTrail/MyCloudWatchLogGroup**. Quindi scegli **Create Metric Filter** (Crea filtro parametro).
1. Per **Filter Pattern** (Modello filtri), digita o incolla quanto segue:
```
{ $.eventName = "GetSecretValue" && $.errorMessage = "*secret because it was marked for deletion*" }
```
Scegli **Assign Metric** (Assegna parametro).
1. Nella pagina **Create Metric Filter and Assign a Metric** (Crea filtro parametri e assegna parametro), procedi nel seguente modo:
1. Per **Metric Namespace (Spazio dei nomi parametro)**, digita **CloudTrailLogMetrics**.
1. Per **Metric Name (Nome parametro)** digita **AttemptsToAccessDeletedSecrets**.
1. Scegli **Show advanced metric settings (Mostra impostazioni avanzate parametro)** quindi, se necessario per **Metric Value (Valore parametro)** digita **1**.
1. Scegli **Create Filter** (Crea filtro).
1. Nella casella di filtro, scegli **Create Alarm** (Crea allarme).
1. Nella finestra **Create Alarm** (Crea allarme), procedi nel seguente modo:
1. In **Name (Nome)** digitare **AttemptsToAccessDeletedSecretsAlarm**.
1. In **Whenever: (Ogni volta che:)**, per **is: (è:)**, seleziona **>=**, quindi digita **1**.
1. Nel campo **Send notification to:** (Invia notifica a), procedi in uno dei seguenti modi:
+ Per creare e utilizzare un nuovo argomento Amazon SNS, scegli **New list (Nuovo elenco)**, quindi digita un nuovo nome argomento. Per **Email list:** (Elenco e-mail), digita almeno un indirizzo e-mail. È possibile digitare più di un indirizzo e-mail utilizzando la virgola come separatore.
+ Per usare un argomento Amazon SNS esistente, scegli il nome dell'argomento da utilizzare. Se non esiste un elenco, seleziona **Select list (Elenco di selezione)**.
1. Scegli **Crea allarme**.
## Fase 3: Prova l' CloudWatch allarme
Per fare un test sull'allarme, crea un segreto e programmane l'eliminazione. Quindi, prova a recuperare il valore del segreto. Poco dopo riceverai un'e-mail all'indirizzo configurato nell'allarme. Questo avvisa di utilizzare un segreto pianificato per l'eliminazione.
# Monitora Gestione dei segreti AWS i segreti per la conformità utilizzando AWS Config
Puoi usarle AWS Config per valutare i tuoi segreti per vedere se sono conformi ai tuoi standard. Puoi definire i requisiti interni di sicurezza e conformità per i segreti utilizzando AWS Config le regole. Quindi AWS Config puoi identificare i segreti che non sono conformi alle tue regole. Puoi anche tenere traccia delle modifiche ai metadati segreti, alla [configurazione di rotazione](find-secrets-not-rotating.md), alla chiave KMS utilizzata per la crittografia segreta, alla funzione di rotazione Lambda e ai tag associati a un segreto.
Puoi configurare in modo che ti AWS Config avvisi delle modifiche. Per ulteriori informazioni, consulta l'[argomento Notifiche AWS Config inviate a un Amazon SNS](https://docs.aws.amazon.com/config/latest/developerguide/notifications-for-AWS-Config.html).
Se disponi di segreti in più Account AWS sedi e Regioni AWS nella tua organizzazione, puoi aggregare tali dati di configurazione e conformità. Per ulteriori informazioni, consulta Aggregazione di dati [multiaccount e più regioni.](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)
**Per valutare se i segreti sono conformi**
+ Segui le istruzioni sulla [valutazione delle tue risorse con AWS Config regole](https://docs.aws.amazon.com/config/latest/developerguide/evaluating-your-resources.html) e scegli una delle seguenti regole:
+ `[secretsmanager-secret-unused](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)`— Controlla se sono stati eseguiti accessi ai segreti entro il numero specificato di giorni.
+ `[secretsmanager-using-cmk](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-using-cmk.html)`— Verifica se i segreti sono crittografati utilizzando la chiave Chiave gestita da AWS `aws/secretsmanager` o una chiave gestita dal cliente che hai creato. AWS KMS
+ `[secretsmanager-rotation-enabled-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)`— Verifica se la rotazione è configurata per i segreti memorizzati in Secrets Manager.
+ `[secretsmanager-scheduled-rotation-success-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)`: verifica se l'ultima rotazione riuscita rientra nella frequenza di rotazione configurata. La frequenza minima per la verifica è giornaliera.
+ `[secretsmanager-secret-periodic-rotation](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)`— Controlla se i segreti sono stati ruotati entro il numero specificato di giorni.
# Monitora i costi di Secrets Manager
Puoi utilizzare Amazon CloudWatch per monitorare i Gestione dei segreti AWS costi stimati. Per ulteriori informazioni, consulta [Creazione di un allarme di fatturazione per monitorare gli AWS addebiti stimati](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/monitor_estimated_charges_with_cloudwatch.html) nella *Guida per l'CloudWatch utente*.
Un'altra opzione per monitorare i costi è il rilevamento delle anomalie AWS dei costi. Per ulteriori informazioni, consulta [Rilevamento di spese insolite con AWS Cost Anomaly Detection](https://docs.aws.amazon.com/cost-management/latest/userguide/manage-ad.html) nella *AWS Cost Management* User Guide.
Per informazioni sul monitoraggio dell'utilizzo di Secrets Manager, vedere [Monitora Gestione dei segreti AWS con Amazon CloudWatch](monitoring-cloudwatch.md) e[Registra Gestione dei segreti AWS gli eventi con AWS CloudTrail](monitoring-cloudtrail.md).
Per informazioni sui Gestione dei segreti AWS prezzi, consulta[Prezzi](intro.md#asm_pricing).
# Rileva le minacce con Amazon GuardDuty
Amazon GuardDuty è un servizio di rilevamento delle minacce che ti aiuta a proteggere account, container, carichi di lavoro e dati nel tuo AWS ambiente. Utilizzando modelli di machine learning (ML) e funzionalità di rilevamento di anomalie e minacce, monitora GuardDuty continuamente diverse fonti di log per identificare e dare priorità ai potenziali rischi per la sicurezza e alle attività dannose nel tuo ambiente. Ad esempio, GuardDuty rileverà potenziali minacce come l'accesso insolito o sospetto ai segreti e l'esfiltrazione di credenziali nel caso in cui rilevi credenziali create esclusivamente per un' EC2 istanza Amazon tramite un ruolo di avvio dell'istanza ma utilizzate da un altro account all'interno. AWS Per ulteriori informazioni, consulta la [Amazon GuardDuty User Guide](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html).
Un altro esempio di utilizzo del rilevamento è il comportamento anomalo. Ad esempio, se Gestione dei segreti AWS in genere riceve `create-secret` `get-secret-value``describe-secret`, e `list-secrets` chiamate da un'entità che utilizza Java SDK e quindi un'entità diversa inizia a chiamare `batch-get-secret-value` e `get-secret-value` utilizzare l'oggetto AWS CLI dall'esterno della VPN, è GuardDuty possibile segnalare un risultato che la seconda entità sta invocando in modo anomalo. APIs Per ulteriori informazioni, consulta [GuardDuty IAM finding](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#credentialaccess-iam-anomalousbehavior) type:/. CredentialAccess IAMUser AnomalousBehavior