As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Monitore AWS Secrets Manager segredos
<a name="monitoring"></a>

AWS fornece ferramentas de monitoramento para monitorar os segredos do Secrets Manager, relatar quando algo está errado e realizar ações automáticas quando apropriado. É possível usar os logs se precisar investigar qualquer uso ou alteração inesperada e, em seguida, reverter as alterações indesejadas. Você também pode estabelecer verificações automatizadas para o uso inadequado de segredos e qualquer tentativa de exclusão de segredos. 

**Topics**
+ [Faça login com AWS CloudTrail](monitoring-cloudtrail.md)
+ [Monitor com CloudWatch](monitoring-cloudwatch.md)
+ [Combine eventos do Secrets Manager com EventBridge](monitoring-eventbridge.md)
+ [Monitorar segredos programados para exclusão](monitoring_cloudwatch_deleted-secrets.md)
+ [Monitorar segredos para conformidade](configuring-awsconfig-rules.md)
+ [Monitorar custos do Secrets Manager](monitor-secretsmanager-costs.md)
+ [Detecte ameaças com GuardDuty](monitoring-guardduty.md)

# AWS Secrets Manager Registre eventos com AWS CloudTrail
<a name="monitoring-cloudtrail"></a>

AWS CloudTrail registra todas as chamadas de API para o Secrets Manager como eventos, incluindo chamadas do console do Secrets Manager, bem como vários outros eventos para rotação e exclusão de versões secretas. Para obter uma lista das entradas de log dos registros do Secrets Manager, consulte [CloudTrail entradas](cloudtrail_log_entries.md).

Você pode usar o CloudTrail console para ver os últimos 90 dias de eventos gravados. Para um registro contínuo de eventos em sua AWS conta, incluindo eventos para o Secrets Manager, crie uma trilha para que CloudTrail entregue os arquivos de log para um bucket do Amazon S3. Consulte [Criação de uma trilha para sua AWS conta](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html). Você também pode configurar CloudTrail para receber arquivos de CloudTrail log de [vários Contas da AWS[Regiões da AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)e. 

Você pode configurar outros AWS serviços para analisar e agir com base nos dados coletados nos CloudTrail registros. Veja as [integrações de AWS serviços com CloudTrail registros](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations). Você também pode receber notificações ao CloudTrail publicar novos arquivos de log em seu bucket do Amazon S3. Consulte [Configuração de notificações do Amazon SNS para](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html). CloudTrail 

**Para recuperar eventos do Secrets Manager dos CloudTrail registros (console)**

1. Abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Certifique-se de que o console esteja apontando para a região em que os eventos ocorreram. O console mostra apenas os eventos que ocorreram na região selecionada. Escolha a região na lista suspensa no canto superior direito do console.

1. No painel de navegação à esquerda, escolha **Histórico de eventos**. 

1. Escolha **Filtrar** critérios e and/or um **intervalo de tempo** para ajudá-lo a encontrar o evento que você está procurando. Por exemplo:

   1. Para ver todos os eventos do Secrets Manager, em **Pesquisar atributos**, escolha **Origem do evento**. Em seguida, em **Enter envent source** (Inserir origem do evento), escolha **secretsmanager.amazonaws.com**.

   1. Para ver todos os eventos para um segredo, em **Pesquisar atributos**, escolha **Nome do recurso**. Em seguida, em **Insira um nome de recurso**, insira o nome do segredo.

1. Para ver outros detalhes, escolha a seta de expansão ao lado do evento. Para ver todas as informações disponíveis, escolha **View evento (Visualizar evento)**. 

## AWS CLI
<a name="monitoring-cloudtrail_cli"></a>

**Example Recupere eventos do Secrets Manager dos registros CloudTrail**  
O exemplo de [https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html) a seguir procura eventos do Secrets Manager.  

```
aws cloudtrail lookup-events \
    --region us-east-1 \
    --lookup-attributes AttributeKey=EventSource,AttributeValue=secretsmanager.amazonaws.com
```

# AWS CloudTrail entradas para Secrets Manager
<a name="cloudtrail_log_entries"></a>

AWS Secrets Manager grava entradas em seu AWS CloudTrail log para todas as operações do Secrets Manager e para outros eventos relacionados à rotação e exclusão. Para obter informações sobre como agir nesses eventos, consulte [Combine eventos do Secrets Manager com EventBridge](monitoring-eventbridge.md). 

**Topics**
+ [Entradas de log para operações do Secrets Manager](#cloudtrail_log_entries_operations)
+ [Entradas de log para exclusão](#cloudtrail_log_entries_deletion)
+ [Entradas de log para replicação](#cloudtrail_log_entries_replication)
+ [Entradas de log para alternância](#cloudtrail_log_entries_rotation)

## Entradas de log para operações do Secrets Manager
<a name="cloudtrail_log_entries_operations"></a>

Os eventos que são gerados por chamadas para as operações do Secrets Manager têm `"detail-type": ["AWS API Call via CloudTrail"]`. 

**nota**  
Antes de fevereiro de 2024, algumas operações do Secrets Manager relataram eventos que continham "aRN" em vez de "arn" para o ARN do segredo. Para obter mais informações, consulte [AWS  re:Post](https://repost.aws/knowledge-center/secrets-manager-arn).

A seguir estão as CloudTrail entradas geradas quando você ou um serviço chamam as operações do Secrets Manager por meio da API, SDK ou CLI.

**BatchGetSecretValue**  
Gerado pela [BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html)operação. Para obter informações sobre a recuperação de segredos, consulte [Obtenha segredos de AWS Secrets Manager](retrieving-secrets.md). 

**CancelRotateSecret**  
Gerado pela [CancelRotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CancelRotateSecret.html)operação. Para obter informações sobre alternância, consulte [Gire segredos AWS Secrets Manager](rotating-secrets.md). 

**CreateSecret**  
Gerado pela [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)operação. Para obter informações sobre a criação de segredos, consulte [Gerencie segredos com AWS Secrets Manager](managing-secrets.md).

**DeleteResourcePolicy**  
Gerado pela [DeleteResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteResourcePolicy.html)operação. Para obter mais informações sobre permissões, consulte [Autenticação e controle de acesso para AWS Secrets Manager](auth-and-access.md). 

**DeleteSecret**  
Gerado pela [DeleteSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteSecret.html)operação. Para obter informações sobre como excluir segredos, consulte [Excluir um AWS Secrets Manager segredo](manage_delete-secret.md). 

**DescribeSecret**  
Gerado pela [DescribeSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html)operação. 

**GetRandomPassword**  
Gerado pela [GetRandomPassword](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetRandomPassword.html)operação. 

**GetResourcePolicy**  
Gerado pela [GetResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html)operação. Para obter mais informações sobre permissões, consulte [Autenticação e controle de acesso para AWS Secrets Manager](auth-and-access.md).

**GetSecretValue**  
Gerado pelas [BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html)operações [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html)e. Para obter informações sobre a recuperação de segredos, consulte [Obtenha segredos de AWS Secrets Manager](retrieving-secrets.md).

**ListSecrets**  
Gerado pela [ListSecrets](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecrets.html)operação. Para obter informações sobre a listagem de segredos, consulte [Encontre segredos em AWS Secrets Manager](manage_search-secret.md).

**ListSecretVersionIds**  
Gerado pela [ListSecretVersionIds](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecretVersionIds.html)operação.

**PutResourcePolicy**  
Gerado pela [PutResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html)operação. Para obter mais informações sobre permissões, consulte [Autenticação e controle de acesso para AWS Secrets Manager](auth-and-access.md). 

**PutSecretValue**  
Gerado pela [PutSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutSecretValue.html)operação. Para obter informações sobre como atualizar um segredo, consulte [Modificar um AWS Secrets Manager segredo](manage_update-secret.md).

**RemoveRegionsFromReplication**  
Gerado pela [RemoveRegionsFromReplication](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RemoveRegionsFromReplication.html)operação. Para obter informações sobre a replicação de um segredo, consulte [Replique AWS Secrets Manager segredos em todas as regiões](replicate-secrets.md). 

**ReplicateSecretToRegions**  
Gerado pela [ReplicateSecretToRegions](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html)operação. Para obter informações sobre a replicação de um segredo, consulte [Replique AWS Secrets Manager segredos em todas as regiões](replicate-secrets.md). 

**RestoreSecret**  
Gerado pela [RestoreSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RestoreSecret.html)operação. Para obter informações sobre como restaurar um segredo excluído, consulte [Restaurar um AWS Secrets Manager segredo](manage_restore-secret.md). 

**RotateSecret**  
Gerado pela [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)operação. Para obter informações sobre alternância, consulte [Gire segredos AWS Secrets Manager](rotating-secrets.md). 

**StopReplicationToReplica**  
Gerado pela [StopReplicationToReplica](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html)operação. Para obter informações sobre a replicação de um segredo, consulte [Replique AWS Secrets Manager segredos em todas as regiões](replicate-secrets.md). 

**TagResource**  
Gerado pela [TagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_TagResource.html)operação. Para obter informações sobre como marcar um segredo, consulte [Marcando segredos em AWS Secrets Manager](managing-secrets_tagging.md).

**UntagResource**  
Gerado pela [UntagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UntagResource.html)operação. Para obter informações sobre como desmarcar um segredo, consulte [Marcando segredos em AWS Secrets Manager](managing-secrets_tagging.md).

**UpdateSecret**  
Gerado pela [UpdateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecret.html)operação. Para obter informações sobre como atualizar um segredo, consulte [Modificar um AWS Secrets Manager segredo](manage_update-secret.md).

**UpdateSecretVersionStage**  
Gerado pela [UpdateSecretVersionStage](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecretVersionStage.html)operação. Para obter informações sobre estágios de versão, consulte [Versões do segredo](whats-in-a-secret.md#term_version). 

**ValidateResourcePolicy**  
Gerado pela [ValidateResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ValidateResourcePolicy.html)operação. Para obter mais informações sobre permissões, consulte [Autenticação e controle de acesso para AWS Secrets Manager](auth-and-access.md).

## Entradas de log para exclusão
<a name="cloudtrail_log_entries_deletion"></a>

Além dos eventos das operações do Secrets Manager, o Secrets Manager gera os eventos a seguir relacionados à exclusão. Esses eventos têm `"detail-type": ["AWS Service Event via CloudTrail"]`.

**CancelSecretVersionDelete**  
Gerado pelo serviço do Secrets Manager. Se você chamar `DeleteSecret` em um segredo que tenha versões e, posteriormente, chamar `RestoreSecret`, o Secrets Manager registra esse evento para cada versão de segredo que foi restaurada. Para obter informações sobre como restaurar um segredo excluído, consulte [Restaurar um AWS Secrets Manager segredo](manage_restore-secret.md). 

**EndSecretVersionDelete**  
Gerado pelo serviço do Secrets Manager quando uma versão do segredo é excluída. Para obter mais informações, consulte [Excluir um AWS Secrets Manager segredo](manage_delete-secret.md).

**StartSecretVersionDelete**  
Gerado pelo serviço do Secrets Manager quando ele começa a exclusão da versão de um segredo. Para obter informações sobre como excluir segredos, consulte [Excluir um AWS Secrets Manager segredo](manage_delete-secret.md).

**SecretVersionDeletion**  
Gerado pelo serviço do Secrets Manager quando ele começa a exclusão da versão de um segredo. Para obter mais informações, consulte [Secret versions](whats-in-a-secret.md#term_version) (Versões de segredos).

## Entradas de log para replicação
<a name="cloudtrail_log_entries_replication"></a>

Além dos eventos das operações do Secrets Manager, o Secrets Manager gera os eventos a seguir relacionados à replicação. Esses eventos têm `"detail-type": ["AWS Service Event via CloudTrail"]`.

**ReplicationFailed**  
Gerado pelo serviço do Secrets Manager quando a replicação falha. Para obter informações sobre a replicação de um segredo, consulte [Replique AWS Secrets Manager segredos em todas as regiões](replicate-secrets.md).

**ReplicationStarted**  
Gerado pelo serviço Secrets Manager quando ele começa a replicar um segredo. Para obter informações sobre a replicação de um segredo, consulte [Replique AWS Secrets Manager segredos em todas as regiões](replicate-secrets.md).

**ReplicationSucceeded**  
Gerado pelo serviço do Secrets Manager quando um segredo é replicado com sucesso. Para obter informações sobre a replicação de um segredo, consulte [Replique AWS Secrets Manager segredos em todas as regiões](replicate-secrets.md).

## Entradas de log para alternância
<a name="cloudtrail_log_entries_rotation"></a>

Além dos eventos das operações do Secrets Manager, o Secrets Manager gera os eventos a seguir relacionados à alternância. Esses eventos têm `"detail-type": ["AWS Service Event via CloudTrail"]`.

**RotationStarted**  
Gerado pelo serviço Secrets Manager quando ele começa a alternar um segredo. Para obter informações sobre alternância, consulte [Gire segredos AWS Secrets Manager](rotating-secrets.md).

**RotationAbandoned**  
Gerado pelo serviço do Secrets Manager quando ele abandona uma tentativa de alternância e remove o rótulo `AWSPENDING` de uma versão existente de um segredo. O Secrets Manager abandona a alternância quando você cria uma nova versão de um segredo durante a alternância. Para obter informações sobre alternância, consulte [Gire segredos AWS Secrets Manager](rotating-secrets.md).

**RotationFailed**  
Gerado pelo serviço do Secrets Manager quando a alternância falha. Para obter informações sobre alternância, consulte [Solucionar problemas de rotação AWS Secrets Manager](troubleshoot_rotation.md).

**RotationSucceeded**  
Gerado pelo serviço do Secrets Manager quando um segredo é alternado com êxito. Para obter informações sobre alternância, consulte [Gire segredos AWS Secrets Manager](rotating-secrets.md).

**TestRotationStarted**  
Gerado pelo serviço do Secrets Manager quando ele começa a testar a alternância de um segredo que não está programado para alternância imediata. Para obter informações sobre alternância, consulte [Gire segredos AWS Secrets Manager](rotating-secrets.md).

**TestRotationSucceeded**  
Gerado pelo serviço do Secrets Manager quando ele testa com êxito a alternância de um segredo que não está programado para alternância imediata. Para obter informações sobre alternância, consulte [Gire segredos AWS Secrets Manager](rotating-secrets.md).

**TestRotationFailed**  
Gerado pelo serviço do Secrets Manager quando ele testa a alternância de um segredo que não está programado para alternância imediata e a alternância falhou. Para obter informações sobre alternância, consulte [Solucionar problemas de rotação AWS Secrets Manager](troubleshoot_rotation.md).

# Monitore AWS Secrets Manager com a Amazon CloudWatch
<a name="monitoring-cloudwatch"></a>

Usando a Amazon CloudWatch, você pode monitorar AWS serviços e criar alarmes para avisar quando as métricas mudam. CloudWatch mantém essas estatísticas por 15 meses, para que você possa acessar informações históricas e ter uma melhor perspectiva sobre o desempenho de seu aplicativo ou serviço web. Pois AWS Secrets Manager, você pode monitorar o número de segredos em sua conta, incluindo segredos marcados para exclusão e chamadas de API para o Secrets Manager, incluindo chamadas feitas por meio do console. Para obter informações sobre como monitorar métricas, consulte [Usar CloudWatch métricas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) no *Guia do CloudWatch usuário*.

**Para encontrar métricas do Secrets Manager**

1. No CloudWatch console, em **Métricas**, escolha **Todas as métricas**.

1. Na caixa de pesquisa **Métricas**, insira `secret`.

1. Faça o seguinte:
   + Para monitorar o número de segredos em sua conta, escolha **AWS/**eSecretsManager, em seguida, selecione **SecretCount**. Essa métrica é publicada de hora em hora.
   + Para monitorar chamadas de API para o Secrets Manager, incluindo chamadas feitas por meio do console, escolha **Uso > Por AWS recurso** e selecione as chamadas de API a serem monitoradas. Para obter uma lista do Secrets Manager APIs, consulte [Operações do Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_Operations.html).

1. Faça o seguinte:
   + Para criar um gráfico da métrica, consulte [Representação gráfica de métricas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/graph_metrics.html) no *Guia do CloudWatch usuário da Amazon*.
   + Para detectar anomalias, consulte [Usando a detecção de CloudWatch anomalias no Guia](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Anomaly_Detection.html) do usuário da *Amazon CloudWatch *.
   + Para obter estatísticas de uma métrica, consulte [Obter estatísticas de uma métrica](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/getting-metric-statistics.html) no *Guia CloudWatch do usuário da Amazon*.



## CloudWatch alarmes
<a name="monitoring-cloudwatch_alarms"></a>

Você pode criar um CloudWatch alarme que envia uma mensagem do Amazon SNS quando o valor de uma métrica muda e faz com que o alarme mude de estado. É possível definir um alarme em `ResourceCount` de métrica do Secrets Manager, que é o número de segredos em sua conta. Também é possível definir alarmes. Um alarme observa uma métrica ao longo de um período especificado por você e realiza ações com base no valor da métrica relativo a um determinado limite ao longo de vários períodos. Os alarmes invocam ações somente para mudanças de estado sustentadas. CloudWatch os alarmes não invocam ações simplesmente porque estão em um determinado estado; o estado deve ter sido alterado e mantido por um determinado número de períodos. 

Para obter mais informações, consulte [Usando CloudWatch alarmes da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) e [Criar um CloudWatch alarme com base na detecção de anomalias](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Create_Anomaly_Detection_Alarm.html) no Guia do *CloudWatch usuário*.

Você também pode definir alarmes que observam determinados limites e enviam notificações ou realizam ações quando esses limites são atingidos. Para obter mais informações, consulte o [Guia CloudWatch do usuário da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).

# Combine AWS Secrets Manager eventos com a Amazon EventBridge
<a name="monitoring-eventbridge"></a>

Na Amazon EventBridge, você pode combinar eventos do Secrets Manager a partir de entradas de CloudTrail registro. Você pode configurar EventBridge regras que procurem esses eventos e, em seguida, enviem novos eventos gerados a um alvo para agir. Para obter uma lista das CloudTrail entradas que o Secrets Manager registra, consulte[CloudTrail entradas](cloudtrail_log_entries.md). Para obter instruções de configuração EventBridge, consulte [Introdução EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html) no *Guia do EventBridge usuário*.

## Corresponder todas as alterações com um segredo especificado
<a name="monitoring-eventbridge_examples-all-changes"></a>

**nota**  
Como [alguns eventos do Secrets Manager](cloudtrail_log_entries.md) devolvem o ARN do segredo com uma capitalização diferente, em padrões de eventos que correspondem a mais de uma ação, para especificar um segredo por ARN, talvez seja necessário incluir ambas as chaves `arn` e `aRN`. Para obter mais informações, consulte [AWS  re:Post](https://repost.aws/knowledge-center/secrets-manager-arn).

O exemplo a seguir mostra um padrão de EventBridge evento que corresponde às entradas de registro para alterações em um segredo.

```
{
    "source": ["aws.secretsmanager"],
    "detail-type": ["AWS API Call via CloudTrail"],
    "detail": {
        "eventSource": ["secretsmanager.amazonaws.com"],
        "eventName": ["DeleteResourcePolicy", "PutResourcePolicy", "RotateSecret", "TagResource", "UntagResource", "UpdateSecret"],
        "responseElements": {
            "arn": ["arn:aws:secretsmanager:us-west-2:012345678901:secret:mySecret-a1b2c3"]
        }
    }
}
```

## Corresponder eventos quando um valor do segredo é alternado
<a name="monitoring-eventbridge_examples-rotations"></a>

O exemplo a seguir mostra um padrão de EventBridge evento que corresponde às entradas de CloudTrail registro para alterações de valores secretos que ocorrem a partir de atualizações manuais ou rotação automática. Como alguns desses eventos são provenientes de operações do Secrets Manager e outros são gerados pelo serviço do Secrets Manager, você deve incluir o `detail-type` para ambos.

```
{
    "source": ["aws.secretsmanager"],
    "detail-type": [
        "AWS API Call via CloudTrail",
        "AWS Service Event via CloudTrail"
    ],
    "detail": {
        "eventSource": ["secretsmanager.amazonaws.com"],
        "eventName": ["PutSecretValue", "UpdateSecret", "RotationSucceeded"]
    }
}
```

# Monitore quando AWS Secrets Manager os segredos programados para exclusão são acessados
<a name="monitoring_cloudwatch_deleted-secrets"></a>

Você pode usar uma combinação de AWS CloudTrail Amazon CloudWatch Logs e Amazon Simple Notification Service (Amazon SNS) para criar um alarme que notifique você sobre qualquer tentativa de acessar uma exclusão secreta pendente. Se você receber uma notificação de um alarme, talvez queira cancelar a exclusão do segredo para ter mais tempo para decidir se deseja realmente excluí-lo. Sua investigação talvez resulte na restauração do segredo porque ainda precisa dele. Como alternativa, talvez seja necessário atualizar o usuário com detalhes do novo segredo a ser usado.

Os procedimentos a seguir explicam como receber uma notificação quando uma solicitação para a `GetSecretValue` operação resulta em uma mensagem de erro específica gravada em seus arquivos de CloudTrail log. É possível executar outras operações de API no segredo sem acionar o alarme. Esse CloudWatch alarme detecta um uso que pode indicar que uma pessoa ou aplicativo está usando credenciais desatualizadas.

Antes de iniciar esses procedimentos, você deve ativar a conta Região da AWS e CloudTrail na qual pretende monitorar as solicitações de AWS Secrets Manager API. Para obter instruções, consulte [Criar uma trilha pela primeira vez](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *AWS CloudTrail Manual do usuário*.

## Etapa 1: configurar a entrega do arquivo de CloudTrail log para o CloudWatch Logs
<a name="monitoring_cloudwatch_deleted-secrets_part1"></a>

Você deve configurar a entrega de seus arquivos de CloudTrail log para o CloudWatch Logs. Você faz isso para que CloudWatch os Logs possam monitorá-los em busca de solicitações da API Secrets Manager para recuperar um segredo pendente de exclusão.

**Para configurar a entrega do arquivo de CloudTrail log para o CloudWatch Logs**

1. Abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Na barra de navegação superior, escolha a opção Região da AWS para monitorar segredos.

1. No painel de navegação esquerdo, escolha **Trilhas** e, em seguida, escolha o nome da trilha a ser configurada. CloudWatch

1. Na página **Configuração de trilhas**, role para baixo até a seção **CloudWatch Registros** e escolha o ícone de edição (![\[Remote control icon with power, volume, and channel buttons.\]](http://docs.aws.amazon.com/pt_br/secretsmanager/latest/userguide/images/edit-pencil-icon.png)).

1. Em **New or existing log group**, digite um nome para o grupo de log, como **CloudTrail/MyCloudWatchLogGroup**.

1. Para a **função do IAM**, você pode usar a função padrão chamada **CloudTrail\$1 CloudWatchLogs \$1Role**. Essa função tem uma política de função padrão com as permissões necessárias para entregar CloudTrail eventos ao grupo de registros.

1. Escolha **Continue** para salvar suas configurações.

1. Em **AWS CloudTrail Entregará CloudTrail eventos associados à atividade da API em sua conta na página do grupo de CloudWatch registros** de registros, escolha **Permitir**.

## Etapa 2: criar o CloudWatch alarme
<a name="monitoring_cloudwatch_deleted-secrets_part2"></a>

Para receber uma notificação quando uma operação `GetSecretValue` da API Secrets Manager solicitar o acesso a uma exclusão secreta pendente, você deve criar um CloudWatch alarme e configurar a notificação.

**Para criar um CloudWatch alarme**

1. Faça login no CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Na barra de navegação superior, escolha a AWS região em que você deseja monitorar os segredos.

1. No painel de navegação esquerdo, selecione **Logs**.

1. Na lista de **grupos de registros**, marque a caixa de seleção ao lado do grupo de registros que você criou no procedimento anterior, como **CloudTrail/MyCloudWatchLogGroup**. Escolha **Create Metric Filter (Criar filtro de métrica)**.

1. Para **Filter Pattern**, digite ou cole o seguinte:

   ```
   { $.eventName = "GetSecretValue" && $.errorMessage = "*secret because it was marked for deletion*" }
   ```

   Escolha **Assign Metric (Atribuir métrica)**.

1. Na página **Create Metric Filter and Assign a Metric (Criar filtro de métrica e atribuir uma métrica)**, faça o seguinte:

   1. Em **Metric Namespace (Namespace da métrica)**, digite **CloudTrailLogMetrics**.

   1. Para **Metric Name (Nome da métrica)**, digite **AttemptsToAccessDeletedSecrets**.

   1. Escolha **Show advanced metric settings**, em seguida, se necessário, para **Metric Value**, digite **1**.

   1. Selecione **Create Filter (Criar filtro)**.

1. Na caixa de filtro, selecione **Create Alarm (Criar alarme)**.

1. Na janela **Create Alarm (Criar alarme)**, faça o seguinte:

   1. Para **Name** (Nome), digite **AttemptsToAccessDeletedSecretsAlarm**.

   1.  Em **Whenever: (Sempre:)**, em **is: (é:)**, escolha **>=** e digite **1**.

   1. Ao lado de **Send notification to:**, siga um destes procedimentos:
      + Para criar e usar um novo tópico do Amazon SNS, escolha **New list** (Nova lista) e digite o nome do novo tópico. Para **Lista de e-mails:**, digite pelo menos um endereço de e-mail. É possível digitar mais de um endereço de e-mail, basta separá-los com vírgulas.
      + Para usar um tópico existente do Amazon SNS, escolha o nome do tópico a ser usado. Se a lista não existir, escolha **Select list (Selecionar lista)**.

   1. Escolha **Criar Alarm**.

## Etapa 3: testar o CloudWatch alarme
<a name="monitoring_cloudwatch_deleted-secrets_part3"></a>

Para testar seu alarme, crie um segredo e, em seguida, programe sua exclusão. Em seguida, tente recuperar o valor do segredo. Em breve, você receberá um e-mail no endereço configurado no alarme. Ele alerta sobre o uso de um segredo com a exclusão programada.

# Monitore AWS Secrets Manager segredos para verificar a conformidade usando AWS Config
<a name="configuring-awsconfig-rules"></a>

Você pode usar AWS Config para avaliar seus segredos para ver se eles estão em conformidade com seus padrões. Você define seus requisitos internos de segurança e conformidade para segredos usando AWS Config regras. Em seguida, AWS Config pode identificar segredos que não estão de acordo com suas regras. Você também pode rastrear alterações em metadados de segredos, a [configuração de alternância](find-secrets-not-rotating.md), a chave KMS usada para criptografia de segredos, a função de alternância do Lambda e as tags associadas a um segredo.

Você pode configurar AWS Config para notificá-lo sobre alterações. Para obter mais informações, consulte [Notificações AWS Config enviadas para um tópico do Amazon SNS](https://docs.aws.amazon.com/config/latest/developerguide/notifications-for-AWS-Config.html).

Se você tiver segredos em vários Contas da AWS e Regiões da AWS em sua organização, poderá agregar esses dados de configuração e conformidade. Para obter mais informações, consulte [Agregação de dados de várias contas e regiões](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html).

**Para avaliar se os segredos estão em conformidade**
+ Siga as instruções em [Avaliação de seus recursos com AWS Config regras](https://docs.aws.amazon.com/config/latest/developerguide/evaluating-your-resources.html) e escolha uma das seguintes regras:
  + `[secretsmanager-secret-unused](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)`: verifica se os segredos foram acessados dentro do número de dias especificado.
  + `[secretsmanager-using-cmk](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-using-cmk.html)`— Verifica se os segredos são criptografados usando a chave gerenciada pelo cliente Chave gerenciada pela AWS `aws/secretsmanager` ou uma chave gerenciada pelo cliente que você criou AWS KMS.
  + `[secretsmanager-rotation-enabled-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)`: verifica se a alternância está configurada para segredos armazenados no Secrets Manager. 
  + `[secretsmanager-scheduled-rotation-success-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)`: verifica se a última alternância bem-sucedida está dentro da frequência de alternância configurada. A frequência mínima para a verificação é diária. 
  + `[secretsmanager-secret-periodic-rotation](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)`: verifica se os segredos foram alternados dentro do número de dias especificado.

# Monitorar custos do Secrets Manager
<a name="monitor-secretsmanager-costs"></a>

Você pode usar CloudWatch a Amazon para monitorar as AWS Secrets Manager cobranças estimadas. Para obter mais informações, consulte [Criação de um alarme de cobrança para monitorar suas AWS cobranças estimadas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/monitor_estimated_charges_with_cloudwatch.html) no *Guia do CloudWatch usuário*.

Outra opção para monitorar seus custos é a Detecção de Anomalias de AWS Custos. Para obter mais informações, consulte [Detecção de gastos incomuns com a Detecção de anomalias de custo da AWS](https://docs.aws.amazon.com/cost-management/latest/userguide/manage-ad.html) no *Guia do usuário do gerenciamento de custos da AWS *.

Para obter informações sobre como monitorar o uso do Secrets Manager, consulte [Monitore AWS Secrets Manager com a Amazon CloudWatch](monitoring-cloudwatch.md) e [AWS Secrets Manager Registre eventos com AWS CloudTrail](monitoring-cloudtrail.md).

Para obter informações sobre AWS Secrets Manager preços, consulte[Preços](intro.md#asm_pricing).

# Detecte ameaças com a Amazon GuardDuty
<a name="monitoring-guardduty"></a>

 GuardDuty A Amazon é um serviço de detecção de ameaças que ajuda você a proteger suas contas, contêineres, cargas de trabalho e os dados do seu AWS ambiente. Usando modelos de aprendizado de máquina (ML) e recursos de detecção de anomalias e ameaças, monitora GuardDuty continuamente diferentes fontes de log para identificar e priorizar possíveis riscos de segurança e atividades maliciosas em seu ambiente. Por exemplo, GuardDuty detectará ameaças em potencial, como acesso incomum ou suspeito a segredos e exfiltração de credenciais, caso detecte credenciais que foram criadas exclusivamente para uma instância da Amazon por meio de uma função de lançamento de EC2 instância, mas estão sendo usadas em outra conta interna. AWS Para obter mais informações, consulte o [Guia GuardDuty do usuário da Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html).

Outro exemplo de caso de uso para detecção é o comportamento anômalo. Por exemplo, se AWS Secrets Manager normalmente recebe`create-secret`,, `get-secret-value``describe-secret`, e `list-secrets` chamadas de uma entidade usando o Java SDK e, em seguida, uma entidade diferente começa a chamar `batch-get-secret-value` e `get-secret-value` usar o de fora AWS CLI da VPN, GuardDuty pode relatar uma descoberta de que a segunda entidade está invocando de forma anômala. APIs Para obter mais informações, consulte o [tipo de descoberta GuardDuty do IAM CredentialAccess:IAMUser/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#credentialaccess-iam-anomalousbehavior).