與 Amazon 匹配 AWS Secrets Manager 活動 EventBridge - AWS Secrets Manager
比對指定機密的所有變更機密值輪換時比對事件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

與 Amazon 匹配 AWS Secrets Manager 活動 EventBridge

在 Amazon 中 EventBridge,您可以比對 CloudTrail 日誌項目中的 Secrets Manager 事件。您可以設定尋找這些事件的 EventBridge 規則,然後將新產生的事件傳送至目標以採取動作。如需 Secrets Manager 記 CloudTrail 錄的項目清單,請參閱CloudTrail 條目。如需設定的指示 EventBridge,請參閱《EventBridge 使用者指南》 EventBridge中的〈入門

比對指定機密的所有變更

注意

由於部分 Secrets Manager 事件會以不同的大小寫傳回機密的 ARN,因此在比對多個動作的事件模式中,若要透過 ARN 指定機密,您可能需要同時包含金鑰 arnaRN。如需詳細資訊,請參閱 AWS re:Post

下列範例顯示符合密碼變更之記錄項目的 EventBridge 事件模式。

{
    "source": ["aws.secretsmanager"],
    "detail-type": ["AWS API Call via CloudTrail"],
    "detail": {
        "eventSource": ["secretsmanager.amazonaws.com"],
        "eventName": ["DeleteResourcePolicy", "PutResourcePolicy", "RotateSecret", "TagResource", "UntagResource", "UpdateSecret"],
        "responseElements": {
            "arn": ["arn:aws:secretsmanager:us-west-2:012345678901:secret:mySecret-a1b2c3"]
        }
    }
}

機密值輪換時比對事件

下列範例顯示的 EventBridge 事件模式會與手動更新或自動輪換所發生之密碼值變更的 CloudTrail 記錄項目相符。由於其中一些事件來自 Secrets Manager 操作,一些由 Secrets Manager 服務產生,因此您必須包含兩者的 detail-type

{
    "source": ["aws.secretsmanager"],
    "$or": [
        { "detail-type": ["AWS API Call via CloudTrail"] }, 
        { "detail-type": ["AWS Service Event via CloudTrail"] }
    ],
    "detail": {
        "eventSource": ["secretsmanager.amazonaws.com"],
        "eventName": ["PutSecretValue", "UpdateSecret", "RotationSucceeded"]
    }
}