本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 AWS Secrets Manager 密碼中儲 PagerDuty 存存取認證
PagerDuty 針對回應計劃開啟與整合之後,事件管理員會以下列方式使 PagerDuty 用:
-
當您在事件管理器中創建新的事件 PagerDuty 時,事件管理器創建一個相應的事件。
-
您在中建立的分頁工作流程和提升原則 PagerDuty 會在 PagerDuty 環境中使用。不過,事件管理員不會匯入您的 PagerDuty 設定。
-
事件管理員會將時間表事件發佈為中事件的附註 PagerDuty,最多可發佈 2,000 個備註。
-
您可以選擇在「 PagerDuty 事件管理員」中解決相關事件時自動解決事件。
若要將「事件管理員」與「事件管理員」整合 PagerDuty,您必須先在中建立包含 AWS Secrets Manager 認 PagerDuty 證的密碼。這些可讓事件管理員與您的 PagerDuty服務進行通訊。然後,您可以將 PagerDuty 服務納入您在「事件管理員」中建立的回應計劃中。
您在密碼管理員中建立的這個密碼必須以適當的 JSON 格式包含下列項目:
-
您 PagerDuty 帳戶中的 API 金鑰。您可以使用一般存取 REST API 金鑰或使用者權杖 REST API 金鑰。
-
子 PagerDuty 網域的有效使用者電子郵件地址。
-
您部署子網域的 PagerDuty 服務區域。
注意
PagerDuty 子網域中的所有服務都會部署至相同的服務區域。
必要條件
在秘密管理員中建立密碼之前,請確定您符合下列需求。
- KMS 金鑰
-
您必須使用您在 AWS Key Management Service (AWS KMS) 中建立的客戶管理金鑰來加密您建立的密鑰。您可以在建立儲存 PagerDuty 認證的密碼時指定此金鑰。
重要
Secrets Manager 提供使用加密密碼的選項 AWS 受管金鑰,但不支援此加密模式。
客戶管理的金鑰必須符合下列需求:
-
金鑰類型:選擇「對稱」。
-
金鑰使用方式:選擇「加密並解密」。
-
地區性:如果您要將回應計劃複製為多個 AWS 區域,請務必選取「多區域金鑰」。
金鑰政策
設定回應計劃的使用者必須擁有金鑰以資源為基礎的原則
kms:GenerateDataKey和kms:Decrypt權限。ssm-incidents.amazonaws.com服務主體必須在金鑰的資源型原則kms:Decrypt中具有kms:GenerateDataKey和的權限。下列原則示範這些權限。將每個
使用者輸入預留位置替換為自己的資訊。{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Enable IAM user permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow creator of response plan to use the key", "Effect": "Allow", "Principal": { "AWS": "IAM_ARN_of_principal_creating_response_plan" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*" }, { "Sid": "Allow Incident Manager to use the key", "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*" } ] }如需建立新客戶受管金鑰的詳細資訊,請參閱AWS Key Management Service 開發人員指南中的建立對稱加密 KMS 金鑰。如需 AWS KMS 索引鍵的詳細資訊,請參閱AWS KMS 概念。
如果現有客戶受管金鑰符合先前所有需求,您可以編輯其政策以新增這些權限。如需更新客戶受管金鑰中政策的相關資訊,請參閱AWS Key Management Service 開發人員指南中的變更金鑰政策。
提示
您可以指定條件鍵來進一步限制存取。例如,下列原則只允許透過美國東部 (俄亥俄) 區域 (US-east-2) 的「Secrets Manager」進行存取:
{ "Sid": "Enable IM Permissions", "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": ["kms:Decrypt", "kms:GenerateDataKey*"], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com" } } } -
GetSecretValue權限-
建立回應計劃的 IAM 身分 (使用者、角色或群組) 必須具有 IAM 權限
secretsmanager:GetSecretValue。
將存 PagerDuty 取認證儲存在 AWS Secrets Manager 密碼中
-
請按照「AWS Secrets Manager 使用者指南」中「建立 AWS Secrets Manager 密碼」中的步驟 3a 中的步驟進行操作。
-
對於步驟 3b,對於鍵/值配對,請執行以下操作:
-
選擇「明文」標籤。
-
以下列 JSON 結構取代方塊的預設內容:
{ "pagerDutyToken": "pagerduty-token", "pagerDutyServiceRegion": "pagerduty-region", "pagerDutyFromEmail": "pagerduty-email" } -
在您貼上的 JSON 範例中,取代
預留位置值,如下所示:-
分頁令牌:來自您帳戶的一般訪問 REST API 密鑰或用戶令牌 REST API 密鑰的值。 PagerDuty如需相關資訊,請參閱PagerDuty 知識庫中的 API 存取金鑰
。 -
分頁區域:託管子網域之 PagerDuty 資料中心的服務區域。 PagerDuty如需相關資訊,請參閱PagerDuty 知識庫中的服務區域
。 -
頁面電子郵件:屬於您子網域之使用者的有效電子郵件地址。 PagerDuty如需相關資訊,請參閱管理PagerDuty 知識庫中的使用者
。
下列範例顯示包含必要 PagerDuty認證的完整 JSON 密碼:
{ "pagerDutyToken": "y_NbAkKc66ryYEXAMPLE", "pagerDutyServiceRegion": "US", "pagerDutyFromEmail": "JohnDoe@example.com" } -
-
-
在步驟 3c 中,針對加密金鑰,選擇您建立的客戶管理金鑰,該金鑰符合上一個先決條件區段中列出的需求。
-
在步驟 4c 上,對於資源權限,執行下列操作:
-
展開 [資源權限]。
-
選擇 [編輯權限]。
-
以下列 JSON 結構取代原則方塊的預設內容:
{ "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } -
選擇儲存。
-
-
在步驟 4d 中,如果您將回應計劃複製到多個 AWS 區域密碼,請執行下列動作:
-
展開複製密碼。
-
針對 AWS 區域,選取您複製回應計劃的目標區域。
-
對於加密金鑰,請選擇您在此區域中建立或複製到的客戶管理金鑰,該金鑰符合「先決條件」區段中列出的需求。
-
對於其他每一個 AWS 區域,選擇新增區域,然後選取區域名稱和客戶管理金鑰。
-
-
完成《AWS Secrets Manager 使用者指南》中建立 AWS Secrets Manager 密碼中的其餘步驟。
如需如何將 PagerDuty 服務新增至「事件管理員」事件工作流程的相關資訊,請參閱主題中的將 PagerDuty 服務整合至回應計劃建立回應計劃。
相關資訊
如何使用 PagerDuty 和自動化事件回應 AWS Systems Manager Incident Manager
AWS Secrets Manager 用戶指南 AWS Secrets Manager中的秘密加密
