As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Armazenando credenciais de PagerDuty acesso em segredo AWS Secrets Manager
Depois de ativar a integração com um plano PagerDuty de resposta, o Incident Manager trabalha com PagerDuty ele das seguintes formas:
-
O Incident Manager cria um incidente correspondente PagerDuty quando você cria um novo incidente no Incident Manager.
-
O fluxo de trabalho de paginação e as políticas de escalonamento que você criou PagerDuty são usados no PagerDuty ambiente. No entanto, o Incident Manager não importa sua PagerDuty configuração.
-
O Incident Manager publica eventos do cronograma como notas sobre o incidente em PagerDuty, até um máximo de 2.000 notas.
-
Você pode optar por resolver PagerDuty incidentes automaticamente ao resolver o incidente relacionado no Gerenciador de incidentes.
Para integrar o Incident Manager com PagerDuty, você deve primeiro criar um segredo AWS Secrets Manager que contenha suas PagerDuty credenciais. Isso permite que o Incident Manager se comunique com seu PagerDuty serviço. Em seguida, você pode incluir um PagerDuty serviço nos planos de resposta criados no Incident Manager.
Esse segredo que você cria no Secrets Manager deve conter, no formato JSON adequado, o seguinte:
-
Uma chave de API da sua PagerDuty conta. É possível usar uma chave de API REST de acesso geral ou uma chave de API REST de token de usuário.
-
Um endereço de e-mail de usuário válido do seu PagerDuty subdomínio.
-
A região PagerDuty de serviço em que você implantou seu subdomínio.
nota
Todos os serviços em um PagerDuty subdomínio são implantados na mesma região de serviço.
Pré-requisitos
Antes de criar o segredo no Secrets Manager, verifique se você atende aos seguintes requisitos.
- Chave do KMS
-
Você deve criptografar o segredo criado com uma chave gerenciada pelo cliente que você criou em AWS Key Management Service (AWS KMS). Você especifica essa chave ao criar o segredo que armazena PagerDuty suas credenciais.
Importante
O Secrets Manager oferece a opção de criptografar o segredo com um Chave gerenciada pela AWS, mas esse modo de criptografia não é suportado.
A chave gerenciada pelo cliente deve atender aos seguintes requisitos:
-
Tipo de chave: escolha Simétrica.
-
Uso da chave: escolha Criptografar e descriptografar.
-
Regionalidade: se você quiser replicar seu plano de resposta para vários Regiões da AWS, certifique-se de selecionar a chave multirregional.
Política de chave
O usuário que está configurando o plano de resposta deve ter permissão para
kms:GenerateDataKeyekms:Decryptna política baseada em recursos da chave. O responsável pelo serviçossm-incidents.amazonaws.com.rproxy.goskope.comdeve ter permissão parakms:GenerateDataKeyekms:Decryptna política baseada em recursos da chave.A política a seguir demonstra essas permissões. Substitua cada
espaço reservado para entrada do usuáriopor suas próprias informações.{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Enable IAM user permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow creator of response plan to use the key", "Effect": "Allow", "Principal": { "AWS": "IAM_ARN_of_principal_creating_response_plan" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*" }, { "Sid": "Allow Incident Manager to use the key", "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*" } ] }Para obter mais informações sobre como criar uma chave gerenciada pelo cliente, consulte Criar chaves de criptografia simétrica do KMS no Guia do desenvolvedor do AWS Key Management Service . Para obter mais informações sobre AWS KMS chaves, consulte AWS KMS conceitos.
Se uma chave gerenciada pelo cliente existente atender a todos os requisitos anteriores, você poderá editar sua política para adicionar essas permissões. Para obter informações sobre como modificar uma política de chave, consulte Alterar uma política de chave no Guia do desenvolvedor do AWS Key Management Service .
dica
Você pode especificar uma chave de condição para limitar ainda mais o acesso. Por exemplo, a política a seguir permite acesso por meio do Secrets Manager somente na região Leste dos EUA (Ohio) (us-east-2):
{ "Sid": "Enable IM Permissions", "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": ["kms:Decrypt", "kms:GenerateDataKey*"], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com" } } } -
- Permissão do
GetSecretValue -
A identidade do IAM (usuário, função ou grupo) que cria o plano de resposta deve ter a permissão
secretsmanager:GetSecretValuedo IAM.
Para armazenar as credenciais de PagerDuty acesso em segredo AWS Secrets Manager
-
Siga as etapas da Etapa 3a em Criar um AWS Secrets Manager segredo no Guia do AWS Secrets Manager usuário.
-
Na Etapa 3b, para Pares de chave/valor, faça o seguinte:
-
Escolha a guia Texto simples.
-
Substitua o conteúdo padrão da caixa pela seguinte estrutura JSON:
{ "pagerDutyToken": "pagerduty-token", "pagerDutyServiceRegion": "pagerduty-region", "pagerDutyFromEmail": "pagerduty-email" } -
Na amostra JSON que você colou, substitua os
valores do espaço reservadoda seguinte forma:-
pagerduty-token: o valor de uma chave de API REST de acesso geral ou de uma chave de API REST de token de usuário da sua conta. PagerDutyPara obter informações relacionadas, consulte Chaves de acesso à API
na Base de PagerDuty Conhecimento. -
pagerduty-region: a regiãode serviço do PagerDuty data center que hospeda seu subdomínio. PagerDutyPara obter informações relacionadas, consulte Regiões de serviço
na Base de PagerDuty Conhecimento. -
pagerduty-email: o endereço de e-mail válido de um usuário que pertence ao seu subdomínio. PagerDutyPara obter informações relacionadas, consulte Gerenciar usuários
na Base de PagerDuty Conhecimento.
O exemplo a seguir mostra um segredo JSON completo contendo as PagerDuty credenciais necessárias:
{ "pagerDutyToken": "y_NbAkKc66ryYEXAMPLE", "pagerDutyServiceRegion": "US", "pagerDutyFromEmail": "JohnDoe@example.com" } -
-
-
Na Etapa 3c, em Chave de criptografia, escolha uma chave gerenciada pelo cliente que você criou que atenda aos requisitos listados na seção anterior, Pré-requisitos.
-
Na Etapa 4c, em Permissões de recursos, faça o seguinte:
-
Expanda Permissões de recursos.
-
Escolha Editar permissões.
-
Substitua o conteúdo padrão da caixa de política pela seguinte estrutura JSON:
{ "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } -
Escolha Salvar.
-
-
Na Etapa 4d, em Replicar segredo, faça o seguinte se você tiver replicado seu plano de resposta para mais de uma Região da AWS:
-
Expanda Replicar segredo.
-
Na Região da AWS, selecione a região para a qual você replicou seu plano de resposta.
-
Em Chave de criptografia, escolha uma chave gerenciada pelo cliente que você criou ou replicou nessa região e que atenda aos requisitos listados na seção Pré-requisitos.
-
Para cada adicional Região da AWS, escolha Adicionar região e selecione o nome da região e a chave gerenciada pelo cliente.
-
-
Conclua as etapas restantes em Criar um AWS Secrets Manager segredo no Guia AWS Secrets Manager do usuário.
Para obter informações sobre como adicionar um PagerDuty serviço a um fluxo de trabalho de incidentes do Incident Manager, consulte Integrar um PagerDuty serviço ao plano de resposta no tópicoCriar um plano de resposta.
Informações relacionadas
Como automatizar a resposta a incidentes com PagerDuty e AWS Systems Manager Incident Manager
Criptografia secreta no AWS Secrets Manager no Guia do usuário do AWS Secrets Manager
