AWS Secrets Manager 보안 암호에 PagerDuty 액세스 자격 증명 저장 - Incident Manager

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Secrets Manager 보안 암호에 PagerDuty 액세스 자격 증명 저장

대응 계획을 PagerDuty 위해 와 통합을 켜면 Incident Manager PagerDuty 는 다음과 같은 방식으로 와 함께 작동합니다.

  • Incident Manager에서 새 인시던트를 생성할 PagerDuty 때 Incident Manager는 에서 해당 인시던트를 생성합니다.

  • 에서 생성한 페이징 워크플로 및 에스컬레이션 정책은 환경에서 PagerDuty 사용됩니다 PagerDuty . 하지만 Incident Manager는 PagerDuty 구성을 가져오지 않습니다.

  • Incident Manager는 타임라인 이벤트를 최대 2 PagerDuty,000개의 메모까지 에 인시던트에 대한 메모로 게시합니다.

  • Incident Manager에서 관련 PagerDuty 인시던트를 해결할 때 인시던트를 자동으로 해결하도록 선택할 수 있습니다.

Incident Manager를 와 통합하려면 먼저 PagerDuty 보안 인증 정보가 AWS Secrets Manager 포함된 보안 암호를 에 생성 PagerDuty해야 합니다. 이를 통해 Incident Manager는 서비스와 통신할 수 있습니다 PagerDuty. 그런 다음 Incident Manager에서 생성한 대응 계획에 PagerDuty 서비스를 포함할 수 있습니다.

Secrets Manager에서 생성하는 이 보안 암호에는 적절한 JSON 형식의 다음이 포함되어야 합니다.

  • PagerDuty 계정의 API 키입니다. 일반 액세스 REST API 키 또는 사용자 토큰 REST API 키를 사용할 수 있습니다.

  • PagerDuty 하위 도메인의 유효한 사용자 이메일 주소입니다.

  • 하위 도메인을 배포한 PagerDuty 서비스 리전입니다.

    참고

    PagerDuty 하위 도메인의 모든 서비스는 동일한 서비스 리전에 배포됩니다.

사전 조건

Secrets Manager에서 암호를 생성하기 전에 다음 요구 사항을 충족해야 합니다.

KMS 키

생성한 보안 암호는 AWS Key Management Service ()에서 생성한 고객 관리형 키로 암호화해야 합니다AWS KMS. 보안 PagerDuty 인증 정보를 저장하는 보안 암호를 생성할 때 이 키를 지정합니다.

중요

Secrets Manager는 로 보안 암호를 암호화하는 옵션을 제공 AWS 관리형 키하지만 이 암호화 모드는 지원되지 않습니다.

고객 관리 키는 다음 요구 사항을 충족해야 합니다.

  • 키 유형: 대칭을 선택합니다.

  • 키 사용: 암호화 및 암호 해독을 선택합니다.

  • 리전 : 응답 계획을 여러 에 복제하려면 다중 리전 키 를 선택해야 AWS 리전합니다.

     

키 정책

대응 계획을 구성하는 사용자는 키의 리소스 기반 정책에 대한 kms:GenerateDataKeykms:Decrypt 권한이 있어야 합니다. ssm-incidents.amazonaws.com 서비스 보안 주체는 키의 리소스 기반 정책에 대한 kms:GenerateDataKeykms:Decrypt 권한을 가지고 있어야 합니다.

다음 정책은 이러한 권한을 보여줍니다. 각각 바꾸기 user input placeholder 자신의 정보를 사용합니다.

{
    "Version": "2012-10-17",
    "Id": "key-consolepolicy-3",
    "Statement": [
        {
            "Sid": "Enable IAM user permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow creator of response plan to use the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "IAM_ARN_of_principal_creating_response_plan"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow Incident Manager to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm-incidents.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        }
    ]
}

새 고객 관리형 키 생성에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서대칭 암호화 KMS 키 생성을 참조하세요. AWS KMS 키에 대한 자세한 내용은 AWS KMS 개념을 참조하세요.

기존 고객 관리형 키가 이전 요구 사항을 모두 충족하는 경우 정책을 편집하여 이러한 권한을 추가할 수 있습니다. 고객 관리형 키의 정책 업데이트에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서키 정책 변경을 참조하세요.

작은 정보

조건 키를 지정하여 액세스를 더 제한할 수 있습니다. 예를 들어 다음 정책은 미국 동부(오하이오) 리전 (us-east-2) 에서 Secrets Manager를 통한 액세스만 허용합니다.

{
    "Sid": "Enable IM Permissions",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-incidents.amazonaws.com"
    },
    "Action": ["kms:Decrypt", "kms:GenerateDataKey*"],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com"
        }
    }
}
GetSecretValue 권한

응답 계획을 생성하는 IAM 자격 증명(사용자, 역할 또는 그룹)에 IAM 권한이 있어야 합니다secretsmanager:GetSecretValue.

AWS Secrets Manager 보안 암호에 PagerDuty 액세스 자격 증명을 저장하려면

  1. AWS Secrets Manager 사용 설명서AWS Secrets Manager 보안 암호 생성에서 3a단계의 단계를 따릅니다.

  2. 3b단계에서 키/값 쌍에 대해 다음을 수행하십시오.

    • 일반 텍스트 탭을 선택합니다.

    • 상자의 기본 내용을 다음 JSON 구조로 바꿉니다.

      {
    "pagerDutyToken": "pagerduty-token",
    "pagerDutyServiceRegion": "pagerduty-region",
    "pagerDutyFromEmail": "pagerduty-email"
}

    • 붙여넣은 JSON 샘플에서 placeholder values 높일 수 있습니다.

      • pagerduty-token: PagerDuty 계정에서 일반 액세스 REST API 키 또는 사용자 토큰 REST API 키의 값입니다.

        관련 정보는 PagerDuty 지식 기반API 액세스 키를 참조하세요.

      • pagerduty-region: PagerDuty 하위 도메인을 호스팅하는 PagerDuty 데이터 센터의 서비스 리전입니다.

        관련 정보는 PagerDuty 지식 기반서비스 리전을 참조하세요.

      • pagerduty-email: PagerDuty 하위 도메인에 속한 사용자의 유효한 이메일 주소입니다.

        관련 정보는 PagerDuty 지식 베이스사용자 관리를 참조하세요.

      다음 예제에서는 필수 PagerDuty 보안 인증 정보가 포함된 완료된 JSON 보안 암호를 보여줍니다.

      {
    "pagerDutyToken": "y_NbAkKc66ryYEXAMPLE",
    "pagerDutyServiceRegion": "US",
    "pagerDutyFromEmail": "JohnDoe@example.com"
}

  3. 3c단계에서 암호화 키의 경우 사전 요구 사항 섹션에 나열된 요구 사항을 충족하는 생성된 고객 관리형 키를 선택합니다.

  4. 4c단계에서 리소스 권한에 대해 다음을 수행하십시오.

    • 리소스 권한을 확장합니다.

    • 권한 편집을 선택합니다.

    • 정책 상자의 기본 내용을 다음 JSON 구조로 바꿉니다.

      {
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-incidents.amazonaws.com"
    },
    "Action": "secretsmanager:GetSecretValue",
    "Resource": "*"
}

    • 저장(Save)을 선택합니다.

  5. 응답 계획을 두 개 이상의 AWS 리전으로 복제했다면 4d단계에서 암호 복제에 대해 다음을 수행하십시오.

    • 암호 복제를 확장합니다.

    • AWS 리전에서 응답 계획을 복제했던 리전을 선택합니다.

    • 암호화 키의 경우 사전 요구 사항 섹션에 나열된 요구 사항을 충족하는 이 리전에서 생성했거나 해당 리전에 복제된 고객 관리 키를 선택합니다.

    • 각 추가 에 대해 리전 AWS 리전추가를 선택하고 리전 이름과 고객 관리형 키를 선택합니다.

  6. AWS Secrets Manager 사용 설명서AWS Secrets Manager 보안 암호 생성 의 나머지 단계를 완료합니다.

Incident Manager 인시던트 워크플로에 PagerDuty 서비스를 추가하는 방법에 대한 자세한 내용은 주제 의 대응 계획에 PagerDuty 서비스 통합을 참조하세요대응 계획 생성.

관련 정보

PagerDuty 및 ( Operations and Migrations 블로그)를 사용하여 인시던트 대응을 자동화하는 방법 AWS Systems Manager Incident ManagerAWS 클라우드

AWS Secrets Manager 사용 설명서AWS Secrets Manager에서 암호 암호화