Amazon EventBridge で AWS Secrets Manager イベントをマッチングする - AWS Secrets Manager
指定したシークレットに対するすべての変更にマッチさせるシークレット値がローテーションされたらイベントをマッチさせる

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EventBridge で AWS Secrets Manager イベントをマッチングする

Amazon EventBridge では、CloudTrail ログエントリのSecrets Manager イベントを照合できます。これらのイベントを探す EventBridge ルールを設定し、新たに生成されたイベントをターゲットに送信してアクションを起こすことができます。Secrets Manager がログする CloudTrail エントリのリストについては、「CloudTrail エントリ」を参照してください。EventBridge の設定方法については、「EventBridge ユーザーガイド」の「EventBridge を使い始める」を参照してください。

指定したシークレットに対するすべての変更にマッチさせる

注記

Secrets Manager イベントの中には、シークレットの ARN を異なる大文字で返すものもあるため、複数のアクションにマッチするイベントパターンでは、ARN でシークレットを指定するために、arn キーと aRN の両方を含める必要がある場合があります。詳細については、「AWS re:Post」を参照してください。

次の例では、シークレットへの変更のログエントリを照合する EventBridge イベントパターンを示しています。

{
    "source": ["aws.secretsmanager"],
    "detail-type": ["AWS API Call via CloudTrail"],
    "detail": {
        "eventSource": ["secretsmanager.amazonaws.com"],
        "eventName": ["DeleteResourcePolicy", "PutResourcePolicy", "RotateSecret", "TagResource", "UntagResource", "UpdateSecret"],
        "responseElements": {
            "arn": ["arn:aws:secretsmanager:us-west-2:012345678901:secret:mySecret-a1b2c3"]
        }
    }
}

シークレット値がローテーションされたらイベントをマッチさせる

次の例では、手動更新または自動ローテーションによって発生したシークレット値の変更を CloudTrail ログエントリとマッチする EventBridge イベントパターンを示しています。これらのイベントには、Secrets Manager の操作によるものもあれば、Secrets Manager サービスによって生成されるものもあるため、detail-type を両方に含める必要があります。

{
    "source": ["aws.secretsmanager"],
    "$or": [
        { "detail-type": ["AWS API Call via CloudTrail"] }, 
        { "detail-type": ["AWS Service Event via CloudTrail"] }
    ],
    "detail": {
        "eventSource": ["secretsmanager.amazonaws.com"],
        "eventName": ["PutSecretValue", "UpdateSecret", "RotationSucceeded"]
    }
}