将 AWS Secrets Manager 事件与 Amazon EventBridge 匹配 - AWS Secrets Manager
将所有更改与指定密钥匹配在轮换密钥值时匹配事件

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 AWS Secrets Manager 事件与 Amazon EventBridge 匹配

在 Amazon EventBridge 中,您可以根据 CloudTrail 日志条目匹配 Secrets Manager 事件。您可以配置 EventBridge 规则来查找这些事件,然后将新生成的事件发送到某个目标以执行操作。有关 Secrets Manager 记录的 CloudTrail 条目列表,请参阅 CloudTrail 条目。有关设置 EventBridge 的说明,请参阅《EventBridge 用户指南》中的 EventBridge 入门

将所有更改与指定密钥匹配

注意

由于某些 Secrets Manager 事件返回的密钥 ARN 大小写不同,所以在匹配多个操作的事件模式中,您可能需要同时包含密钥 arnaRN 才能通过 ARN 指定密钥。有关更多信息,请参阅 AWS re:Post

以下示例显示了 EventBridge 事件模式,其匹配与密钥更改有关的日志条目。

{
    "source": ["aws.secretsmanager"],
    "detail-type": ["AWS API Call via CloudTrail"],
    "detail": {
        "eventSource": ["secretsmanager.amazonaws.com"],
        "eventName": ["DeleteResourcePolicy", "PutResourcePolicy", "RotateSecret", "TagResource", "UntagResource", "UpdateSecret"],
        "responseElements": {
            "arn": ["arn:aws:secretsmanager:us-west-2:012345678901:secret:mySecret-a1b2c3"]
        }
    }
}

在轮换密钥值时匹配事件

以下示例显示了 EventBridge 事件模式,其匹配与手动更新或自动轮换时进行的密钥值更改有关的 CloudTrail 日志条目。由于有些事件来自 Secrets Manager 操作,有些则由 Secrets Manager 服务生成,因此两者都必须包含 detail-type

{
    "source": ["aws.secretsmanager"],
    "$or": [
        { "detail-type": ["AWS API Call via CloudTrail"] }, 
        { "detail-type": ["AWS Service Event via CloudTrail"] }
    ],
    "detail": {
        "eventSource": ["secretsmanager.amazonaws.com"],
        "eventName": ["PutSecretValue", "UpdateSecret", "RotationSucceeded"]
    }
}