Monitora l'accesso ai AWS Secrets Manager segreti programmati per l'eliminazione - AWS Secrets Manager
Passaggio 1: configurare la consegna dei file di CloudTrail registro a CloudWatch Logs Fase 2: Creare l'allarme CloudWatchFase 3: Prova l' CloudWatchallarme

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Monitora l'accesso ai AWS Secrets Manager segreti programmati per l'eliminazione

Puoi utilizzare una combinazione di AWS CloudTrail Amazon CloudWatch Logs e Amazon Simple Notification Service (AmazonSNS) per creare un allarme che ti avvisa di eventuali tentativi di accesso a un'eliminazione segreta in attesa di eliminazione. Se ricevi una notifica mediante un allarme, puoi annullare l'eliminazione del segreto per avere più tempo per stabilire se vuoi effettivamente eliminarlo. La tua indagine potrebbe determinare il ripristino del segreto, se questo si rivela ancora effettivamente necessario. In alternativa, potrebbe essere necessario aggiornare l'utente con i dettagli del nuovo segreto da utilizzare.

Le seguenti procedure spiegano come ricevere una notifica quando una richiesta di GetSecretValue operazione genera un messaggio di errore specifico nei file CloudTrail di registro. È possibile eseguire altre API operazioni sul segreto senza attivare l'allarme. Questo CloudWatch allarme rileva un utilizzo che potrebbe indicare che una persona o un'applicazione utilizza credenziali obsolete.

Prima di iniziare queste procedure, è necessario attivare l'account Regione AWS e su CloudTrail cui si intende monitorare le richieste. AWS Secrets Manager API Per istruzioni, consulta Creazione di un Trail per la prima volta nella AWS CloudTrail Guida per l'utente.

Passaggio 1: configurare la consegna dei file di CloudTrail registro a CloudWatch Logs

È necessario configurare la consegna dei file di CloudTrail registro ai CloudWatch registri. Lo fai in modo che CloudWatch Logs possa monitorarli per le API richieste di Secrets Manager per recuperare un segreto in attesa di eliminazione.

Per configurare la consegna dei file di CloudTrail registro a Logs CloudWatch

  1. Apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Nella barra di navigazione in alto, scegli Regione AWS per monitorare i segreti.

  3. Nel riquadro di navigazione a sinistra, scegli Percorsi, quindi scegli il nome del percorso per cui configurare CloudWatch.

  4. Nella pagina di configurazione dei percorsi, scorri verso il basso fino alla sezione CloudWatch Registri, quindi scegli l'icona di modifica ( Remote control icon with power, volume, and channel buttons. ).

  5. Per un New or existing log group (Gruppo nuovo o esistente di log), digita un nome per il gruppo di log, ad esempio CloudTrail/MyCloudWatchLogGroup.

  6. Per IAMil ruolo, è possibile utilizzare il ruolo predefinito denominato CloudTrail_ CloudWatchLogs _Role. Questo ruolo ha una politica di ruolo predefinita con le autorizzazioni necessarie per fornire CloudTrail eventi al gruppo di log.

  7. Scegli Continue (Continua) per salvare la configurazione.

  8. Nella pagina del gruppo di log CloudWatch Logs, CloudTrail gli eventi associati all'APIattività del tuo account AWS CloudTrail verranno inviati, scegli Consenti.

Fase 2: Creare l'allarme CloudWatch

Per ricevere una notifica quando un'GetSecretValueAPIoperazione di Secrets Manager richiede l'accesso a un segreto in attesa di eliminazione, è necessario creare un CloudWatch allarme e configurare la notifica.

Per creare un allarme CloudWatch

  1. Accedi alla CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nella barra di navigazione in alto, scegli la AWS regione in cui desideri monitorare i segreti.

  3. Nel pannello di navigazione a sinistra, scegli Logs (Log).

  4. Nell'elenco dei gruppi di log, seleziona la casella di controllo accanto al gruppo di log creato nella procedura precedente, ad esempio CloudTrail/MyCloudWatchLogGroup. Quindi scegli Create Metric Filter (Crea filtro parametro).

  5. Per Filter Pattern (Modello filtri), digita o incolla quanto segue:

    { $.eventName = "GetSecretValue" && $.errorMessage = "*secret because it was marked for deletion*" }

    Scegli Assign Metric (Assegna parametro).

  6. Nella pagina Create Metric Filter and Assign a Metric (Crea filtro parametri e assegna parametro), procedi nel seguente modo:

    1. Per Metric Namespace (Spazio dei nomi parametro), digita CloudTrailLogMetrics.

    2. Per Metric Name (Nome parametro) digita AttemptsToAccessDeletedSecrets.

    3. Scegli Show advanced metric settings (Mostra impostazioni avanzate parametro) quindi, se necessario per Metric Value (Valore parametro) digita 1.

    4. Scegli Create Filter (Crea filtro).

  7. Nella casella di filtro, scegli Create Alarm (Crea allarme).

  8. Nella finestra Create Alarm (Crea allarme), procedi nel seguente modo:

    1. In Name (Nome) digitare AttemptsToAccessDeletedSecretsAlarm.

    2. In Whenever: (Ogni volta che:), per is: (è:), seleziona >=, quindi digita 1.

    3. Nel campo Send notification to: (Invia notifica a), procedi in uno dei seguenti modi:

      • Per creare e utilizzare un nuovo SNS argomento Amazon, scegli Nuovo elenco, quindi digita il nome di un nuovo argomento. Per Email list: (Elenco e-mail), digita almeno un indirizzo e-mail. È possibile digitare più di un indirizzo e-mail utilizzando la virgola come separatore.

      • Per utilizzare un SNS argomento Amazon esistente, scegli il nome dell'argomento da utilizzare. Se non esiste un elenco, seleziona Select list (Elenco di selezione).

    4. Scegli Crea allarme.

Fase 3: Prova l' CloudWatchallarme

Per fare un test sull'allarme, crea un segreto e programmane l'eliminazione. Quindi, prova a recuperare il valore del segreto. Poco dopo riceverai un'e-mail all'indirizzo configurato nell'allarme. Questo avvisa di utilizzare un segreto pianificato per l'eliminazione.