As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Monitore quando AWS Secrets Manager os segredos programados para exclusão são acessados
Você pode usar uma combinação de AWS CloudTrail Amazon CloudWatch Logs e Amazon Simple Notification Service (Amazon SNS) para criar um alarme que notifique você sobre qualquer tentativa de acessar uma exclusão secreta pendente. Se você receber uma notificação de um alarme, talvez queira cancelar a exclusão do segredo para ter mais tempo para decidir se deseja realmente excluí-lo. Sua investigação talvez resulte na restauração do segredo porque ainda precisa dele. Como alternativa, talvez seja necessário atualizar o usuário com detalhes do novo segredo a ser usado.
Os procedimentos a seguir explicam como receber uma notificação quando uma solicitação para a `GetSecretValue` operação resulta em uma mensagem de erro específica gravada em seus arquivos de CloudTrail log. É possível executar outras operações de API no segredo sem acionar o alarme. Esse CloudWatch alarme detecta um uso que pode indicar que uma pessoa ou aplicativo está usando credenciais desatualizadas.
Antes de iniciar esses procedimentos, você deve ativar a conta Região da AWS e CloudTrail na qual pretende monitorar as solicitações de AWS Secrets Manager API. Para obter instruções, consulte [Criar uma trilha pela primeira vez](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *AWS CloudTrail Manual do usuário*.
## Etapa 1: configurar a entrega do arquivo de CloudTrail log para o CloudWatch Logs
Você deve configurar a entrega de seus arquivos de CloudTrail log para o CloudWatch Logs. Você faz isso para que CloudWatch os Logs possam monitorá-los em busca de solicitações da API Secrets Manager para recuperar um segredo pendente de exclusão.
**Para configurar a entrega do arquivo de CloudTrail log para o CloudWatch Logs**
1. Abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Na barra de navegação superior, escolha a opção Região da AWS para monitorar segredos.
1. No painel de navegação esquerdo, escolha **Trilhas** e, em seguida, escolha o nome da trilha a ser configurada. CloudWatch
1. Na página **Configuração de trilhas**, role para baixo até a seção **CloudWatch Registros** e escolha o ícone de edição (![\[Remote control icon with power, volume, and channel buttons.\]](http://docs.aws.amazon.com/pt_br/secretsmanager/latest/userguide/images/edit-pencil-icon.png)).
1. Em **New or existing log group**, digite um nome para o grupo de log, como **CloudTrail/MyCloudWatchLogGroup**.
1. Para a **função do IAM**, você pode usar a função padrão chamada **CloudTrail\$1 CloudWatchLogs \$1Role**. Essa função tem uma política de função padrão com as permissões necessárias para entregar CloudTrail eventos ao grupo de registros.
1. Escolha **Continue** para salvar suas configurações.
1. Em **AWS CloudTrail Entregará CloudTrail eventos associados à atividade da API em sua conta na página do grupo de CloudWatch registros** de registros, escolha **Permitir**.
## Etapa 2: criar o CloudWatch alarme
Para receber uma notificação quando uma operação `GetSecretValue` da API Secrets Manager solicitar acesso a uma exclusão secreta pendente, você deve criar um CloudWatch alarme e configurar a notificação.
**Para criar um CloudWatch alarme**
1. Faça login no CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Na barra de navegação superior, escolha a AWS região em que você deseja monitorar os segredos.
1. No painel de navegação esquerdo, selecione **Logs**.
1. Na lista de **grupos de registros**, marque a caixa de seleção ao lado do grupo de registros que você criou no procedimento anterior, como **CloudTrail/MyCloudWatchLogGroup**. Escolha **Create Metric Filter (Criar filtro de métrica)**.
1. Para **Filter Pattern**, digite ou cole o seguinte:
```
{ $.eventName = "GetSecretValue" && $.errorMessage = "*secret because it was marked for deletion*" }
```
Escolha **Assign Metric (Atribuir métrica)**.
1. Na página **Create Metric Filter and Assign a Metric (Criar filtro de métrica e atribuir uma métrica)**, faça o seguinte:
1. Em **Metric Namespace (Namespace da métrica)**, digite **CloudTrailLogMetrics**.
1. Para **Metric Name (Nome da métrica)**, digite **AttemptsToAccessDeletedSecrets**.
1. Escolha **Show advanced metric settings**, em seguida, se necessário, para **Metric Value**, digite **1**.
1. Selecione **Create Filter (Criar filtro)**.
1. Na caixa de filtro, selecione **Create Alarm (Criar alarme)**.
1. Na janela **Create Alarm (Criar alarme)**, faça o seguinte:
1. Para **Name** (Nome), digite **AttemptsToAccessDeletedSecretsAlarm**.
1. Em **Whenever: (Sempre:)**, em **is: (é:)**, escolha **>=** e digite **1**.
1. Ao lado de **Send notification to:**, siga um destes procedimentos:
+ Para criar e usar um novo tópico do Amazon SNS, escolha **New list** (Nova lista) e digite o nome do novo tópico. Para **Lista de e-mails:**, digite pelo menos um endereço de e-mail. É possível digitar mais de um endereço de e-mail, basta separá-los com vírgulas.
+ Para usar um tópico existente do Amazon SNS, escolha o nome do tópico a ser usado. Se a lista não existir, escolha **Select list (Selecionar lista)**.
1. Escolha **Criar Alarm**.
## Etapa 3: testar o CloudWatch alarme
Para testar seu alarme, crie um segredo e, em seguida, programe sua exclusão. Em seguida, tente recuperar o valor do segredo. Em breve, você receberá um e-mail no endereço configurado no alarme. Ele alerta sobre o uso de um segredo com a exclusão programada.