액세스 자격 증명을 시크릿에 저장 PagerDuty AWS Secrets Manager - Incident Manager

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

액세스 자격 증명을 시크릿에 저장 PagerDuty AWS Secrets Manager

대응 계획을 PagerDuty 위해 통합을 활성화한 후 인시던트 관리자는 다음과 같은 PagerDuty 방식으로 작업을 수행합니다.

  • 인시던트 관리자에서 새 인시던트를 PagerDuty 만들면 인시던트 관리자가 해당 인시던트를 생성합니다.

  • 에서 만든 페이징 워크플로와 에스컬레이션 정책은 환경에서 PagerDuty 사용됩니다. PagerDuty 하지만 인시던트 관리자는 구성을 PagerDuty 가져오지 않습니다.

  • 인시던트 관리자는 타임라인 이벤트를 최대 2,000개의 메모까지 인시던트에 PagerDuty 대한 메모로 게시합니다.

  • PagerDuty 인시던트 관리자에서 관련 인시던트를 해결할 때 인시던트를 자동으로 해결하도록 선택할 수 있습니다.

인시던트 관리자를 PagerDuty 통합하려면 먼저 PagerDuty 자격 증명이 AWS Secrets Manager 포함된 암호를 만들어야 합니다. 이를 통해 인시던트 관리자는 PagerDuty 서비스와 통신할 수 있습니다. 그런 다음 인시던트 관리자에서 생성하는 대응 계획에 PagerDuty 서비스를 포함시킬 수 있습니다.

Secrets Manager에서 생성하는 이 암호에는 적절한 JSON 형식으로 다음이 포함되어야 합니다.

  • PagerDuty 계정의 API 키. 일반 액세스 REST API 키 또는 사용자 토큰 REST API 키 중 하나를 사용할 수 있습니다.

  • PagerDuty 하위 도메인의 유효한 사용자 이메일 주소

  • 하위 도메인을 배포한 PagerDuty 서비스 지역.

    참고

    PagerDuty 하위 도메인의 모든 서비스는 동일한 서비스 지역에 배포됩니다.

필수 조건

Secrets Manager에서 암호를 생성하기 전에 다음 요구 사항을 충족해야 합니다.

KMS 키

AWS Key Management Service () AWS KMS 에서 생성한 고객 관리 키를 사용하여 생성한 비밀번호를 암호화해야 합니다. PagerDuty 자격 증명을 저장하는 암호를 만들 때 이 키를 지정합니다.

중요

Secrets Manager는 를 사용하여 암호를 암호화하는 옵션을 제공하지만 이 암호화 모드는 지원되지 않습니다. AWS 관리형 키

고객 관리 키는 다음 요구 사항을 충족해야 합니다.

  • 키 유형: 대칭을 선택합니다.

  • 키 사용: 암호화 및 암호 해독을 선택합니다.

  • 지역성: 대응 계획을 여러 개로 복제하려면 다중 지역 키를 AWS 리전 선택해야 합니다.

     

키 정책

대응 계획을 구성하는 사용자는 키의 리소스 기반 정책에 대한 kms:GenerateDataKeykms:Decrypt 권한이 있어야 합니다. ssm-incidents.amazonaws.com 서비스 보안 주체는 키의 리소스 기반 정책에 대한 kms:GenerateDataKeykms:Decrypt 권한을 가지고 있어야 합니다.

다음 정책은 이러한 권한을 보여줍니다. user input placeholder를 사용자의 정보로 바꿉니다.

{
    "Version": "2012-10-17",
    "Id": "key-consolepolicy-3",
    "Statement": [
        {
            "Sid": "Enable IAM user permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow creator of response plan to use the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "IAM_ARN_of_principal_creating_response_plan"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow Incident Manager to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm-incidents.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        }
    ]
}

고객 관리형 키 생성에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서에서 대칭 암호화 KMS 키 생성을 참조하세요. AWS KMS 키에 대한 자세한 내용은 개념을 참조하십시오. AWS KMS

기존 고객 관리형 키가 이전 요구 사항을 모두 충족하는 경우 정책을 편집하여 이러한 권한을 추가할 수 있습니다. 고객 관리형 키의 정책 업데이트에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서키 정책 변경을 참조하세요.

작은 정보

조건 키를 지정하여 액세스를 더 제한할 수 있습니다. 예를 들어 다음 정책은 미국 동부(오하이오) 리전 (us-east-2) 에서 Secrets Manager를 통한 액세스만 허용합니다.

{
    "Sid": "Enable IM Permissions",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-incidents.amazonaws.com"
    },
    "Action": ["kms:Decrypt", "kms:GenerateDataKey*"],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com"
        }
    }
}
GetSecretValue 권한

대응 계획을 생성하는 IAM ID(사용자, 역할 또는 그룹)에 IAM 권한 secretsmanager:GetSecretValue가 있어야 합니다.

PagerDuty 액세스 자격 증명을 AWS Secrets Manager 시크릿에 저장하려면

  1. AWS Secrets Manager 사용 설명서의 AWS Secrets Manager 암호 만들기에서 3a단계까지의 단계를 따르십시오.

  2. 3b단계에서 키/값 쌍에 대해 다음을 수행하십시오.

    • 일반 텍스트 탭을 선택합니다.

    • 상자의 기본 내용을 다음 JSON 구조로 바꿉니다.

      {
    "pagerDutyToken": "pagerduty-token",
    "pagerDutyServiceRegion": "pagerduty-region",
    "pagerDutyFromEmail": "pagerduty-email"
}

    • 붙여넣은 JSON 샘플에서 플레이스홀더 값 값을 다음과 같이 바꿉니다.

      • 페이저듀티 토큰: 계정의 일반 액세스 REST API 키 또는 사용자 토큰 REST API 키의 값입니다. PagerDuty

        관련 정보는 지식 베이스의 API 액세스 키를 참조하십시오. PagerDuty

      • pagerduty-region: 하위 도메인을 호스팅하는 PagerDuty 데이터 센터의 서비스 지역입니다. PagerDuty

        관련 정보는 지식 베이스의 서비스 지역을 참조하십시오. PagerDuty

      • pagerduty-email: 하위 도메인에 속한 사용자의 유효한 이메일 주소입니다. PagerDuty

        관련 정보는 지식 베이스의 사용자 관리를 참조하십시오. PagerDuty

      다음 예는 필수 PagerDuty 자격 증명이 포함된 완성된 JSON 비밀번호를 보여줍니다.

      {
    "pagerDutyToken": "y_NbAkKc66ryYEXAMPLE",
    "pagerDutyServiceRegion": "US",
    "pagerDutyFromEmail": "JohnDoe@example.com"
}

  3. 3c단계에서 암호화 키의 경우 사전 요구 사항 섹션에 나열된 요구 사항을 충족하는 생성된 고객 관리형 키를 선택합니다.

  4. 4c단계에서 리소스 권한에 대해 다음을 수행하십시오.

    • 리소스 권한을 확장합니다.

    • 권한 편집을 선택합니다.

    • 정책 상자의 기본 내용을 다음 JSON 구조로 바꿉니다.

      {
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-incidents.amazonaws.com"
    },
    "Action": "secretsmanager:GetSecretValue",
    "Resource": "*"
}

    • 저장을 선택합니다.

  5. 응답 계획을 두 개 이상의 AWS 리전으로 복제했다면 4d단계에서 암호 복제에 대해 다음을 수행하십시오.

    • 암호 복제를 확장합니다.

    • AWS 리전에서 응답 계획을 복제했던 리전을 선택합니다.

    • 암호화 키의 경우 사전 요구 사항 섹션에 나열된 요구 사항을 충족하는 이 리전에서 생성했거나 해당 리전에 복제된 고객 관리 키를 선택합니다.

    • 각 추가 AWS 리전 항목에 대해 Add Region (지역 추가) 을 선택하고 지역 이름 및 고객 관리 키를 선택합니다.

  6. AWS Secrets Manager 사용 설명서의 AWS Secrets Manager 비밀 만들기의 나머지 단계를 완료하세요.

인시던트 관리자 인시던트 워크플로에 PagerDuty 서비스를 추가하는 방법에 대한 자세한 내용은 항목의 대응 계획에 PagerDuty 서비스 통합을 참조하십시오대응 계획 생성.

관련 정보

PagerDuty 및 AWS Systems Manager Incident Manager (AWS 클라우드 운영 및 마이그레이션 블로그) 를 사용하여 사고 대응을 자동화하는 방법

AWS Secrets Manager 사용 설명서AWS Secrets Manager에서 암호 암호화