翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Secrets Manager シークレットのモニタリング
<a name="monitoring"></a>

AWS には、Secrets Manager のシークレットを監視し、問題が発生したときに報告し、必要に応じて自動アクションを実行するためのモニタリングツールが用意されています。ログは予期しない使用や変更を調査する場合に使用することができ、不要な変更をロールバックできます。シークレットの不適切な使用や、シークレットを削除しようとする試みに対する自動チェックを設定できます。

**Topics**
+ [でログ記録する AWS CloudTrail](monitoring-cloudtrail.md)
+ [CloudWatch を使用して監視する](monitoring-cloudwatch.md)
+ [EventBridge で Secrets Manager のイベントをマッチさせる](monitoring-eventbridge.md)
+ [削除予定のシークレットの監視](monitoring_cloudwatch_deleted-secrets.md)
+ [シークレットのコンプライアンスを監視する](configuring-awsconfig-rules.md)
+ [Secrets Manager のコストを監視する](monitor-secretsmanager-costs.md)
+ [GuardDuty で脅威を検出する](monitoring-guardduty.md)

# で AWS Secrets Manager イベントをログに記録する AWS CloudTrail
<a name="monitoring-cloudtrail"></a>

AWS CloudTrail は Secrets Manager のすべての API コールをイベントとして記録します。これには、Secrets Manager コンソールからのコールや、ローテーションおよびシークレットバージョン削除のための他のいくつかのイベントが含まれます。Secrets Manager レコードのログエントリのリストについては、「[CloudTrail エントリ](cloudtrail_log_entries.md)」を参照してください。

CloudTrail コンソールを使用して、過去 90 日間に記録された イベントを表示できます。Secrets Manager のイベントなど、 AWS アカウント内のイベントの継続的な記録については、CloudTrail がログファイルを Amazon S3 バケットに配信するように証跡を作成します。[AWS 「アカウントの証跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)」を参照してください。CloudTrail を CloudTrail ログファイルを[複数の AWS アカウント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) および [AWS リージョン](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) から受信するように設定することもできます。

CloudTrail ログで収集されたデータをさらに分析して処理するように、他の AWS サービスを設定できます。「[CloudTrail ログとのAWS サービス統合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)」を参照してください。CloudTrail が、新しいログファイルを Amazon S3 バケットに発行するときにも通知を受け取ることができます。「[CloudTrail の Amazon SNS 通知の設定](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)」を参照してください。

**CloudTrail ログ（コンソール）からSecrets Manager のイベントを取得するには**

1. CloudTrail コンソールの [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) を開いてください。

1. コンソールが、イベントの発生したリージョンを示してしていることを確認します。コンソールには、選択したリージョンで発生したイベントのみが表示されます。コンソール右上のドロップダウンリストからリージョンを選択してください。

1. 左のナビゲーションペインで **[Event history]** (イベント履歴)を選択します。

1. **[Filter]** (フィルター) 条件、および **[Time range]** (時間範囲) (またはその両方) を選択すると探しているイベントを見つけるのに役立ちます。例えば、次のようになります。

   1. すべての Secrets Manager イベントを表示するには、**[ルックアップ属性]** で **[イベントソース]** を選択します。次に、**[Enter event source]** (イベントソースの入力) で、**secretsmanager.amazonaws.com** を選択します。

   1. シークレットのすべてのイベントを表示するには、**[ルックアップ属性]** で **[リソース名]** を選択します。次に、**[リソース名を入力]** にシークレットの名前を入力します。

1. 追加の詳細を表示するには、イベントの横にある展開矢印を選択します。利用可能なすべての情報を表示するには、**[View event]** (イベントの表示) を選択します。

## AWS CLI
<a name="monitoring-cloudtrail_cli"></a>

**Example CloudTrail ログから Secrets Manager のイベントを取得する**  
次の [https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html) の例では、Secrets Manager のイベントが検索されます。  

```
aws cloudtrail lookup-events \
    --region us-east-1 \
    --lookup-attributes AttributeKey=EventSource,AttributeValue=secretsmanager.amazonaws.com
```

# AWS CloudTrail Secrets Manager の エントリ
<a name="cloudtrail_log_entries"></a>

AWS Secrets Manager は、すべての Secrets Manager オペレーションと、ローテーションと削除に関連するその他のイベントのエントリを AWS CloudTrail ログに書き込みます。これらのイベントに対するアクションの詳細については、「[EventBridge で Secrets Manager のイベントをマッチさせる](monitoring-eventbridge.md)」を参照してください。

**Topics**
+ [Secrets Manager の操作ログエントリ](#cloudtrail_log_entries_operations)
+ [削除用のログエントリ](#cloudtrail_log_entries_deletion)
+ [レプリケーションのログエントリ](#cloudtrail_log_entries_replication)
+ [ローテーションのログエントリ](#cloudtrail_log_entries_rotation)

## Secrets Manager の操作ログエントリ
<a name="cloudtrail_log_entries_operations"></a>

Secrets Manager の操作の呼び出しによって発生するイベントには `"detail-type": ["AWS API Call via CloudTrail"]` があります。

**注記**  
2024 年 2 月以前は、一部の Secrets Manager 操作で、シークレット ARN に「arn」ではなく「aRN」が含まれるイベントが報告されていました。詳細については、「[AWS re:Post](https://repost.aws/knowledge-center/secrets-manager-arn)」を参照してください。

以下は、ユーザーまたはサービスが API、SDK、または CLI を通じて Secrets Manager オペレーションを呼び出す際に生成される CloudTrail エントリです。

**BatchGetSecretValue**  
[BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html) オペレーションによって生成。シークレットを取得する方法の詳細については、「[からシークレットを取得する AWS Secrets Manager](retrieving-secrets.md)」を参照してください。

**CancelRotateSecret**  
[CancelRotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CancelRotateSecret.html) オペレーションによって生成。ローテーションの詳細は、「[AWS Secrets Manager シークレットのローテーション](rotating-secrets.md)」を参照してください。

**CreateSecret**  
[CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html) オペレーションによって生成。シークレットを作成する方法の詳細については、「[でシークレットを管理する AWS Secrets Manager](managing-secrets.md)」を参照してください。

**DeleteResourcePolicy**  
[DeleteResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteResourcePolicy.html) オペレーションによって生成。許可の詳細については、「[の認証とアクセスコントロール AWS Secrets Manager](auth-and-access.md)」を参照してください。

**DeleteSecret**  
[DeleteSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteSecret.html) オペレーションによって生成。シークレットの削除については、「[AWS Secrets Manager シークレットを削除する](manage_delete-secret.md)」を参照してください。

**DescribeSecret**  
[DescribeSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html) オペレーションによって生成。

**GetRandomPassword**  
[GetRandomPassword](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetRandomPassword.html) オペレーションによって生成。

**GetResourcePolicy**  
[GetResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html) オペレーションによって生成。許可の詳細については、「[の認証とアクセスコントロール AWS Secrets Manager](auth-and-access.md)」を参照してください。

**GetSecretValue**  
[GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html) と [BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html) オペレーションによって生成。シークレットを取得する方法の詳細については、「[からシークレットを取得する AWS Secrets Manager](retrieving-secrets.md)」を参照してください。

**ListSecrets**  
[ListSecrets](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecrets.html) オペレーションによって生成。シークレットを一覧する方法の詳細については、「[でシークレットを検索する AWS Secrets Manager](manage_search-secret.md)」を参照してください。

**ListSecretVersionIds**  
[ListSecretVersionIds](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecretVersionIds.html) オペレーションによって生成。

**PutResourcePolicy**  
[PutResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html) オペレーションによって生成。許可の詳細については、「[の認証とアクセスコントロール AWS Secrets Manager](auth-and-access.md)」を参照してください。

**PutSecretValue**  
[PutSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutSecretValue.html) オペレーションによって生成。シークレットを更新する方法の詳細については、「[AWS Secrets Manager シークレットを変更する](manage_update-secret.md)」を参照してください。

**RemoveRegionsFromReplication**  
[RemoveRegionsFromReplication](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RemoveRegionsFromReplication.html) オペレーションによって生成。シークレットのレプリケーションの詳細については、「[リージョン間でシー AWS Secrets Manager クレットをレプリケートする](replicate-secrets.md)」を参照してください。

**ReplicateSecretToRegions**  
[ReplicateSecretToRegions](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html) オペレーションによって生成。シークレットのレプリケーションの詳細については、「[リージョン間でシー AWS Secrets Manager クレットをレプリケートする](replicate-secrets.md)」を参照してください。

**RestoreSecret**  
[RestoreSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RestoreSecret.html) オペレーションによって生成。削除されたシークレットを復元する方法については、「[AWS Secrets Manager シークレットを復元する](manage_restore-secret.md)」を参照してください。

**RotateSecret**  
[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html) オペレーションによって生成。ローテーションの詳細は、「[AWS Secrets Manager シークレットのローテーション](rotating-secrets.md)」を参照してください。

**StopReplicationToReplica**  
[StopReplicationToReplica](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html) オペレーションによって生成。シークレットのレプリケーションの詳細については、「[リージョン間でシー AWS Secrets Manager クレットをレプリケートする](replicate-secrets.md)」を参照してください。

**TagResource**  
[TagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_TagResource.html) オペレーションによって生成。シークレットのタグ付けの詳細については、「[でのシークレットのタグ付け AWS Secrets Manager](managing-secrets_tagging.md)」を参照してください。

**UntagResource**  
[UntagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UntagResource.html) オペレーションによって生成。シークレットのタグ解除の詳細については、「[でのシークレットのタグ付け AWS Secrets Manager](managing-secrets_tagging.md)」を参照してください。

**UpdateSecret**  
[UpdateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecret.html) オペレーションによって生成。シークレットを更新する方法の詳細については、「[AWS Secrets Manager シークレットを変更する](manage_update-secret.md)」を参照してください。

**UpdateSecretVersionStage**  
[UpdateSecretVersionStage](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecretVersionStage.html) オペレーションによって生成。バージョンステージの詳細については、「[シークレットバージョン](whats-in-a-secret.md#term_version)」を参照してください。

**ValidateResourcePolicy**  
[ValidateResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ValidateResourcePolicy.html) オペレーションによって生成。許可の詳細については、「[の認証とアクセスコントロール AWS Secrets Manager](auth-and-access.md)」を参照してください。

## 削除用のログエントリ
<a name="cloudtrail_log_entries_deletion"></a>

Secrets Manager 操作のイベントに加えて、Secrets Manager は削除に関連する次のイベントを生成します。これらのイベントには `"detail-type": ["AWS Service Event via CloudTrail"]` があります。

**CancelSecretVersionDelete**  
Secrets Manager サービスによって生成されるもの。バージョンを持つシークレットで `DeleteSecret` を呼び出し、後で `RestoreSecret` を呼び出すと、Secrets Manager は、復元されたシークレットバージョンごとにこのイベントをログに記録します。削除されたシークレットを復元する方法については、「[AWS Secrets Manager シークレットを復元する](manage_restore-secret.md)」を参照してください。

**EndSecretVersionDelete**  
シークレットバージョンが削除されたときに、Secrets Manager サービスによって生成されるもの。詳細については、「[AWS Secrets Manager シークレットを削除する](manage_delete-secret.md)」を参照してください。

**StartSecretVersionDelete**  
Secrets Manager がシークレットバージョンの削除を開始する際に、Secrets Manager サービスによって生成されるもの。シークレットの削除については、「[AWS Secrets Manager シークレットを削除する](manage_delete-secret.md)」を参照してください。

**SecretVersionDeletion**  
Secrets Manager が廃止されたシークレットバージョンを削除ときに Secrets Manager サービスによって生成。詳細については、「[Secret versions](whats-in-a-secret.md#term_version)」(シークレットバージョン) を参照してください。

## レプリケーションのログエントリ
<a name="cloudtrail_log_entries_replication"></a>

Secrets Manager 操作のイベントに加えて、Secrets Manager はレプリケーションに関連する次のイベントを生成します。これらのイベントには `"detail-type": ["AWS Service Event via CloudTrail"]` があります。

**ReplicationFailed**  
レプリケーションが失敗したときに Secrets Manager サービスによって生成されます。シークレットのレプリケーションの詳細については、「[リージョン間でシー AWS Secrets Manager クレットをレプリケートする](replicate-secrets.md)」を参照してください。

**ReplicationStarted**  
Secrets Manager がシークレットのレプリケーションを開始する際に、Secrets Manager サービスによって生成されます。シークレットのレプリケーションの詳細については、「[リージョン間でシー AWS Secrets Manager クレットをレプリケートする](replicate-secrets.md)」を参照してください。

**ReplicationSucceeded**  
Secrets Manager サービスが正常にレプリケートされたときに Secrets Manager サービスによって生成されます。シークレットのレプリケーションの詳細については、「[リージョン間でシー AWS Secrets Manager クレットをレプリケートする](replicate-secrets.md)」を参照してください。

## ローテーションのログエントリ
<a name="cloudtrail_log_entries_rotation"></a>

Secrets Manager 操作のイベントに加えて、Secrets Manager はローテーションに関連する次のイベントを生成します。これらのイベントには `"detail-type": ["AWS Service Event via CloudTrail"]` があります。

**RotationStarted**  
Secrets Manager がシークレットのローテーションを開始する際に、Secrets Manager サービスによって生成されるもの。ローテーションの詳細は、「[AWS Secrets Manager シークレットのローテーション](rotating-secrets.md)」を参照してください。

**RotationAbandoned**  
Secrets Manager がローテーションの試みを放棄し、シークレットの既存のバージョンから `AWSPENDING` ラベルを削除するときに、Secrets Manager サービスによって生成されるもの。Secrets Manager は、ローテーション中にシークレットの新しいバージョンを作成すると、ローテーションを中止します。ローテーションの詳細は、「[AWS Secrets Manager シークレットのローテーション](rotating-secrets.md)」を参照してください。

**RotationFailed**  
ローテーションに失敗したときに、Secrets Manager サービスによって生成されるもの。ローテーションの詳細は、「[AWS Secrets Manager ローテーションのトラブルシューティング](troubleshoot_rotation.md)」を参照してください。

**RotationSucceeded**  
Secrets Manager サービスが正常にローテーションされたときに Secrets Manager サービスによって生成されるもの。ローテーションの詳細は、「[AWS Secrets Manager シークレットのローテーション](rotating-secrets.md)」を参照してください。

**TestRotationStarted**  
Secrets Manager が、即時ローテーションが予定されていないシークレットのローテーションテストを開始したときに Secrets Manager サービスによって生成されるもの。ローテーションの詳細は、「[AWS Secrets Manager シークレットのローテーション](rotating-secrets.md)」を参照してください。

**TestRotationSucceeded**  
Secrets Manager が、即時ローテーションが予定されていないシークレットのローテーションテストに成功したときに生成されるもの。ローテーションの詳細は、「[AWS Secrets Manager シークレットのローテーション](rotating-secrets.md)」を参照してください。

**TestRotationFailed**  
Secrets Manager が、即時ローテーションが予定されていないシークレットのローテーションをテストし、ローテーションが失敗したときに、Secrets Manager サービスによって生成されるもの。ローテーションの詳細は、「[AWS Secrets Manager ローテーションのトラブルシューティング](troubleshoot_rotation.md)」を参照してください。

# Amazon CloudWatch AWS Secrets Manager によるモニタリング
<a name="monitoring-cloudwatch"></a>

Amazon CloudWatch を使用すると、 AWS サービスをモニタリングし、アラームを作成して、メトリクスが変更されたときに通知できます。CloudWatch はこれらの統計を 15 か月間保持するため、履歴情報にアクセスし、Web アプリケーションやサービスパフォーマンスをより適切に把握できます。では AWS Secrets Manager、削除対象としてマークされたシークレットを含むアカウント内のシークレットの数、およびコンソールを介した呼び出しを含む Secrets Manager への API コールをモニタリングできます。メトリクスの監視方法の詳細については、「*CloudWatch ユーザーガイド*」の「[CloudWatch メトリクスの使用](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)」を参照してください。

**Secrets Manager メトリクスを検索するには**

1. CloudWatch コンソールで **[メトリクス]** から **[すべてのメトリクス]** を選択します。

1. **[メトリックス]** 検索で、ボックスに「`secret`」と入力します。

1. 以下の操作を実行します。
   + アカウントのシークレット数を監視するには、**[AWS/SecretsManager]** を選択し、**[SecretCount]** を選択します。このメトリクスは 1 時間ごとにパブリッシュされます。
   + コンソールを介した呼び出しを含む Secrets Manager への API コールをモニタリングするには、**Usage > By AWS Resource** を選択し、モニタリングする API コールを選択します。Secrets Manager API リストについては、「[Secrets Manager operations](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_Operations.html)」を参照してください。

1. 以下の操作を実行します。
   + メトリクスのグラフを作成するには、「*Amazon CloudWatch ユーザーガイド*」の「[メトリクスのグラフ化](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/graph_metrics.html)」を参照してください。
   + 異常を検出するには、「*Amazon CloudWatch ユーザーガイド*」の「[CloudWatch 異常検出の使用](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Anomaly_Detection.html)」を参照してください。
   + メトリクスの統計情報を取得するには、「*Amazon CloudWatch ユーザーガイド*」の「[メトリクスの統計を取得する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/getting-metric-statistics.html)」を参照してください。



## CloudWatch アラーム
<a name="monitoring-cloudwatch_alarms"></a>

メトリックスの値が変化し、アラームの状態が変化したときに Amazon SNS メッセージを送信する CloudWatch アラームを作成できます。アカウントのシークレット数である Secrets Manager メトリクス `ResourceCount` にアラームを設定できます。アラームは、指定期間にわたって単一のメトリクスを監視し、指定したしきい値に対応したメトリクスの値に基づいて、数期間にわたって アクションを実行します。アラームは、持続している状態変化に対してのみアクションを呼び出します。CloudWatch のアラームは、メトリクスが特定の状態にあるだけではアクションを呼び出しません。アクションを呼び出すには、指定した期間継続している必要があります。

詳細については、「*CloudWatch ユーザーガイド*」の「[Amazon CloudWatch でのアラームの使用](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)」と「[異常検出に基づいて CloudWatch アラームを作成する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Create_Anomaly_Detection_Alarm.html)」を参照してください。

また、特定のしきい値を監視するアラームを設定し、これらのしきい値に達したときに通知を送信したりアクションを実行したりできます。詳細については、「[Amazon CloudWatch ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)」を参照してください。

# Amazon EventBridge と AWS Secrets Manager イベントを照合する
<a name="monitoring-eventbridge"></a>

Amazon EventBridge では、CloudTrail ログエントリのSecrets Manager イベントを照合できます。これらのイベントを探す EventBridge ルールを設定し、新たに生成されたイベントをターゲットに送信してアクションを起こすことができます。Secrets Manager がログする CloudTrail エントリのリストについては、「[CloudTrail エントリ](cloudtrail_log_entries.md)」を参照してください。EventBridge の設定方法については、「EventBridge ユーザーガイド」の「[EventBridge を使い始める](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html)」を参照してください。

## 指定したシークレットに対するすべての変更にマッチさせる
<a name="monitoring-eventbridge_examples-all-changes"></a>

**注記**  
[Secrets Manager イベント](cloudtrail_log_entries.md)の中には、シークレットの ARN を異なる大文字で返すものもあるため、複数のアクションにマッチするイベントパターンでは、ARN でシークレットを指定するために、`arn` キーと `aRN` の両方を含める必要がある場合があります。詳細については、「[AWS re:Post](https://repost.aws/knowledge-center/secrets-manager-arn)」を参照してください。

次の例では、シークレットへの変更のログエントリを照合する EventBridge イベントパターンを示しています。

```
{
    "source": ["aws.secretsmanager"],
    "detail-type": ["AWS API Call via CloudTrail"],
    "detail": {
        "eventSource": ["secretsmanager.amazonaws.com"],
        "eventName": ["DeleteResourcePolicy", "PutResourcePolicy", "RotateSecret", "TagResource", "UntagResource", "UpdateSecret"],
        "responseElements": {
            "arn": ["arn:aws:secretsmanager:us-west-2:012345678901:secret:mySecret-a1b2c3"]
        }
    }
}
```

## シークレット値がローテーションされたらイベントをマッチさせる
<a name="monitoring-eventbridge_examples-rotations"></a>

次の例では、手動更新または自動ローテーションによって発生したシークレット値の変更を CloudTrail ログエントリとマッチする EventBridge イベントパターンを示しています。これらのイベントには、Secrets Manager の操作によるものもあれば、Secrets Manager サービスによって生成されるものもあるため、`detail-type` を両方に含める必要があります。

```
{
    "source": ["aws.secretsmanager"],
    "detail-type": [
        "AWS API Call via CloudTrail",
        "AWS Service Event via CloudTrail"
    ],
    "detail": {
        "eventSource": ["secretsmanager.amazonaws.com"],
        "eventName": ["PutSecretValue", "UpdateSecret", "RotationSucceeded"]
    }
}
```

# 削除が予定されている AWS Secrets Manager シークレットがいつアクセスされるかをモニタリングする
<a name="monitoring_cloudwatch_deleted-secrets"></a>

Amazon CloudWatch Logs AWS CloudTrailと Amazon Simple Notification Service (Amazon SNS) の組み合わせを使用して、削除保留中のシークレットへのアクセス試行を通知するアラームを作成できます。アラームから通知を受け取ると、削除が本当に必要かどうかを時間をかけて判断するために、シークレットの削除をキャンセルしなければならない場合があります。調査の結果、シークレットが実際にまだ必要であるため、シークレットが保存されたままになる可能性があります。または、使用する新しいシークレットの詳細を使用して、ユーザーを更新する必要がある場合があります。

次の手順は、特定のエラーメッセージを生成する `GetSecretValue` オペレーションのリクエストが CloudTrail ログファイルに書き込まれた場合に､通知を受け取る方法を説明します。他の API オペレーションは、アラームをトリガーせずにシークレットで実行できます。この CloudWatch アラームは、古い認証情報を使用しているユーザーまたはアプリケーションを示す可能性のある使用を検出します。

これらの手順を開始する前に、 AWS Secrets Manager API リクエストをモニタリングする予定の AWS リージョン および アカウントで CloudTrail を有効にする必要があります。手順については、「*AWS CloudTrail ユーザーガイド*」の「[Creating a trail for the first time](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

## ステップ 1: CloudTrail ログファイルの CloudWatch ログへの配信を設定します
<a name="monitoring_cloudwatch_deleted-secrets_part1"></a>

CloudTrail ログファイルの CloudWatch Logs への配信を設定します。これにより、CloudWatch Logs は削除が保留されているシークレットを取得する、Secrets Manager API リクエストを監視できます。

**CloudTrail ログファイルの CloudWatch Logs への配信を設定するには**

1. CloudTrail コンソールの [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) を開いてください。

1. 上部のナビゲーションバーで、シークレットをモニタリング AWS リージョン する を選択します。

1. 左のナビゲーションペインで **[Trails]**(証跡) を選択し、CloudWatch 向けに設定する証跡の名前を選択します。

1. **[Trails Configuration]**(証跡の設定) ページで、**[CloudWatch Logs]** のセクションまでスクロールダウンし、編集アイコン (![\[Remote control icon with power, volume, and channel buttons.\]](http://docs.aws.amazon.com/ja_jp/secretsmanager/latest/userguide/images/edit-pencil-icon.png)) を選択します。

1. **[New or existing log group]** (新規または既存のロググループ)にロググループの名前 (**CloudTrail/MyCloudWatchLogGroup**) を入力します。

1. **[IAM role]** (IAM ロール) には、**CloudTrail\$1CloudWatchLogs\$1Role** というデフォルトのロールを使用できます。このロールには、CloudTrail イベントをロググループに配信するために必要なアクセス許可を持つ、デフォルトロールポリシーがあります。

1. **[Continue]** (続行) を選択して設定を保存します。

1. [**AWS CloudTrail will deliver CloudTrail events associated with API activity in your account to your CloudWatch Logs log group AWS CloudTrail **] ( がアカウントでの API アクティビティに関連する CloudTrail イベントを CloudWatch Logs のロググループに配信する) ページで、[**Allow**] (許可) を選択します。

## ステップ 2: CloudWatch アラームを作成する
<a name="monitoring_cloudwatch_deleted-secrets_part2"></a>

Secrets Manager の `GetSecretValue` API オペレーションリクエストが、削除保留中のシークレットにアクセスした場合に通知を受け取るには、CloudWatch アラームを作成し、通知を設定する必要があります。

**CloudWatch アラームを作成するには**

1. 次の場所から CloudWatch コンソールにサインインします ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/))。

1. 上部のナビゲーションバーで、シークレットをモニタリングする AWS リージョンを選択します。

1. 左のナビゲーションペインで **[Logs]** (ログ) を選択します。

1. **[Log Groups]** (ロググループ) のリストで、以前の手順で作成したロググループ (**CloudTrail/MyCloudWatchLogGroup**など) の横にあるチェックボックスを選択します。その後、**[Create Metric Filter]** (メトリクスフィルタの作成) を選択します。

1. **[Filter Pattern]** (フィルタパターン) に、以下を入力するか貼り付けます。

   ```
   { $.eventName = "GetSecretValue" && $.errorMessage = "*secret because it was marked for deletion*" }
   ```

   **[Assign Metric]** (メトリクスの割り当て) を選択します。

1. **[Create Metric Filter and Assign a Metric]** (メトリクスフィルタの作成とメトリクスの割り当て) ページで、次の操作を実行します。

   1. **[Metric Namespace]** (メトリクス名前空間) に「**CloudTrailLogMetrics**」と入力します。

   1. **[Metric Name]** (メトリクス名) に「**AttemptsToAccessDeletedSecrets**」と入力します。

   1. **[Show advanced metric settings]** (メトリクスの詳細設定の表示) を選択した後、必要に応じて **[Metric Value]** (メトリクス値) に「**1**」と入力します。

   1. **[Create Filter]** (フィルタの作成) を選択します。

1. フィルタボックスで、**[Create Alarm]** (アラームの作成) を選択します。

1. **[Create Alarm]** (アラームの作成) ウィンドウで、以下の操作を行います。

   1. **[Name]** (名前) に、「**AttemptsToAccessDeletedSecretsAlarm**」と入力します。

   1.  **[Whenever:]** (次の時:) の **[is:]** (が:) で [**>=**] を選択し、「**1**」と入力します。

   1. **[Send notification to:]** (通知の送信:) の横で、次のいずれかを実行します。
      + 新しい Amazon SNS トピックを作成し使用するには、**[New list]** (新しいリスト) を選択し、新しいトピック名を入力します。**[Email list:]** (E メールリスト:) に、E メールアドレスを少なくとも 1 つ入力します。カンマで区切って、複数の E メールアドレスを入力できます。
      + 既存の Amazon SNS トピックを使用するには、使用するトピックの名前を選択します。リストが存在しない場合は、**[Select list]** (リストの選択) を選択します。

   1. **[Create Alarm]** (アラームの作成) を選択します。

## ステップ 3: CloudWatch アラームをテストする
<a name="monitoring_cloudwatch_deleted-secrets_part3"></a>

アラームをテストするには、シークレットを作成し、それを削除用にスケジュールします。次に、シークレット値の取得を試みます｡ アラームで設定したアドレスに間もなく E メールが届きます。これは、削除予定のシークレットの使用について警告します。

# を使用してシー AWS Secrets Manager クレットのコンプライアンスをモニタリングする AWS Config
<a name="configuring-awsconfig-rules"></a>

 AWS Config を使用してシークレットを評価し、標準に準拠しているかどうかを確認できます。 AWS Config ルールを使用して、シークレットの内部セキュリティおよびコンプライアンス要件を定義します。その後 AWS Config 、 はルールに準拠していないシークレットを識別できます。また、シークレットメタデータ、[ローテーション設定](find-secrets-not-rotating.md)、シークレット暗号化に使用される KMS キー、Lambda ローテーション関数、シークレットに関連付けられたタグの変更を追跡することもできます。

変更を通知する AWS Config ように を設定できます。詳細については、[「 が Amazon SNS トピック AWS Config に送信する通知](https://docs.aws.amazon.com/config/latest/developerguide/notifications-for-AWS-Config.html)」を参照してください。

複数の AWS アカウント と組織 AWS リージョン 内にシークレットがある場合は、その設定とコンプライアンスデータを集約できます。詳細については、「[Multi-account Multi-Region data aggregation](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)」を参照してください。

**シークレットが準拠しているかどうかを評価するには**
+ [AWS Config ルールを使用してリソースを評価する](https://docs.aws.amazon.com/config/latest/developerguide/evaluating-your-resources.html)手順に従い、次のいずれかのルールを選択します。
  + `[secretsmanager-secret-unused](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)` — 指定した日数内にシークレットがアクセスされたかどうかを確認します。
  + `[secretsmanager-using-cmk](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-using-cmk.html)` — シークレットが AWS マネージドキー `aws/secretsmanager`または作成したカスタマーマネージドキーを使用して暗号化されているかどうかを確認します AWS KMS。
  + `[secretsmanager-rotation-enabled-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)` — Secrets Manager に保存されているシークレットに対してローテーションが設定されているかどうかを確認します。
  + `[secretsmanager-scheduled-rotation-success-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)` – 最後に成功したローテーションが、設定されたローテーション頻度の範囲内であるかどうかをチェックします。チェックの最小頻度は日次です。
  + `[secretsmanager-secret-periodic-rotation](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)` — 指定した日数内にシークレットがローテーションされたかどうかを確認します。

# Secrets Manager のコストを監視する
<a name="monitor-secretsmanager-costs"></a>

Amazon CloudWatch を使用して、推定 AWS Secrets Manager 請求額をモニタリングできます。詳細については、*CloudWatch ユーザーガイド*[」の「推定 AWS 請求額をモニタリングするための請求アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/monitor_estimated_charges_with_cloudwatch.html)」を参照してください。

コストをモニタリングするもう 1 つのオプションは、 AWS コスト異常検出です。詳細情報については、「*AWS Cost Management User Guide*」の「[Detecting unusual spend with AWS Cost Anomaly Detection](https://docs.aws.amazon.com/cost-management/latest/userguide/manage-ad.html)」を参照してください。

Session Manager の使用状況を監視する方法については、「[Amazon CloudWatch AWS Secrets Manager によるモニタリング](monitoring-cloudwatch.md)」と「[で AWS Secrets Manager イベントをログに記録する AWS CloudTrail](monitoring-cloudtrail.md)」を参照してください。

 AWS Secrets Manager 料金の詳細については、「」を参照してください[料金](intro.md#asm_pricing)。

# Amazon GuardDuty で脅威を検出する
<a name="monitoring-guardduty"></a>

Amazon GuardDuty は、 AWS 環境でアカウント、コンテナ、ワークロード、およびデータを保護するのに役立つ脅威検出サービスです。機械学習 (ML) モデルと異常および脅威検出機能を使用して、GuardDuty はさまざまなログソースを継続的に監視し、環境内の潜在的なセキュリティリスクと悪意のあるアクティビティを特定して優先順位を付けます。例えば、GuardDuty は、インスタンス起動ロールを通じて Amazon EC2 インスタンス専用に作成された認証情報が、 AWS内の別のアカウントから使用されていることを検出した場合に、シークレットへの異常なアクセスや不審なアクセス、認証情報の漏洩などの潜在的な脅威を検出します。詳細については、「[Amazon GuardDuty User Guide](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)」を参照してください。

検出の別のユースケースの例は、異常な動作です。例えば、 AWS Secrets Manager 通常、 が Java SDK を使用してエンティティから `create-secret`、`get-secret-value`、`describe-secret`、 の`list-secrets`呼び出しを取得し、別のエンティティが VPN の外部 AWS CLI から の呼び出し`batch-get-secret-value`と`get-secret-value`使用を開始した場合、GuardDuty は 2 番目のエンティティが異常に APIs を呼び出しているという検出結果を報告できます。詳細については、「[GuardDuty IAM finding type CredentialAccess:IAMUser/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#credentialaccess-iam-anomalousbehavior)」を参照してください。