Überwachen Sie, wann auf AWS Secrets Manager Geheimnisse zugegriffen wird, die gelöscht werden sollen

Sie können eine Kombination aus Amazon CloudWatch Logs und Amazon Simple Notification Service (AmazonSNS) verwenden, um einen Alarm zu erstellen, der Sie über alle Versuche informiert, auf ein Geheimnis zuzugreifen, dessen Löschung noch aussteht. AWS CloudTrail Wenn Sie von einem solchen Alarm eine Benachrichtigung erhalten, können Sie den Löschvorgang für das Secret abbrechen, damit Sie mehr Zeit haben, um zu bestimmen, ob Sie es tatsächlich löschen möchten. Vielleicht führt Ihre Untersuchung zu einer Wiederherstellung des Secrets, da es tatsächlich noch benötigt wird. Alternativ müssen Sie den Benutzer möglicherweise mit Details des neuen zu verwendenden Secrets aktualisieren.

In den folgenden Verfahren wird erklärt, wie Sie eine Benachrichtigung erhalten, wenn eine Anforderung für den GetSecretValue Vorgang, die zu einer bestimmten Fehlermeldung führt, in Ihre CloudTrail Protokolldateien geschrieben wird. Andere API Operationen können mit dem Geheimnis ausgeführt werden, ohne dass der Alarm ausgelöst wird. Dieser CloudWatch Alarm erkennt eine Nutzung, die darauf hindeuten könnte, dass eine Person oder Anwendung veraltete Anmeldeinformationen verwendet.

Bevor Sie mit diesen Verfahren beginnen, müssen Sie das Konto AWS-Region und das Konto aktivieren, CloudTrail in dem Sie AWS Secrets Manager API Anfragen überwachen möchten. Weitere Informationen finden Sie unter Erstmaliges Erstellen eines Trails im AWS CloudTrail -Benutzerhandbuch.

Schritt 1: Konfigurieren Sie die Übertragung von CloudTrail Protokolldateien in CloudWatch Logs

Sie müssen die Übermittlung Ihrer CloudTrail Protokolldateien an CloudWatch Logs konfigurieren. Sie tun dies, damit CloudWatch Logs sie auf Secrets Manager API Manager-Anfragen zum Abrufen eines geheimen Schlüssels hin überwachen kann, dessen Löschung noch aussteht.

Um die Übertragung von CloudTrail Protokolldateien in CloudWatch Logs zu konfigurieren

1. Öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

2. Wählen Sie in der oberen Navigationsleiste die Option AWS-Region zum Überwachen von Geheimnissen aus.

3. Wählen Sie im linken Navigationsbereich Trails und dann den Namen des Trails aus, für den Sie die Konfiguration vornehmen möchten CloudWatch.

4. Scrollen Sie auf der Seite „Trails-Konfiguration“ nach unten zum Abschnitt „CloudWatch Logs“ und wählen Sie dann das Bearbeitungssymbol ( ).

5. Geben Sie in New or existing log group (Neue oder vorhandene Gruppe) den Namen der Protokollgruppe ein, z. B. CloudTrail/MyCloudWatchLogGroup.

6. Als IAMRolle können Sie die Standardrolle mit dem Namen CloudTrail_ CloudWatchLogs _Role verwenden. Diese Rolle hat eine Standardrollenrichtlinie mit den erforderlichen Berechtigungen, um CloudTrail Ereignisse an die Protokollgruppe zu übermitteln.

7. Wählen Sie Continue (Weiter) aus, um die Konfigurationseinstellungen zu speichern.

8. Wählen AWS CloudTrail Sie auf der Protokollgruppenseite „ CloudTrail Ereignisse im Zusammenhang mit API Aktivitäten in Ihrem Konto an Ihre CloudWatch Logs übertragen“ die Option Zulassen aus.

Schritt 2: Erstellen Sie den CloudWatch Alarm

Um eine Benachrichtigung zu erhalten, wenn ein Secrets Manager GetSecretValue API Manager-Vorgang den Zugriff auf ein Geheimnis anfordert, dessen Löschung noch aussteht, müssen Sie einen CloudWatch Alarm erstellen und eine Benachrichtigung konfigurieren.

Um einen CloudWatch Alarm zu erstellen

1. Melden Sie sich bei der CloudWatch Konsole an unter https://console.aws.amazon.com/cloudwatch/.

2. Wählen Sie in der oberen Navigationsleiste die AWS Region aus, in der Sie geheime Daten überwachen möchten.

3. Wählen Sie im linken Navigationsbereich Protokolle aus.

4. Aktivieren Sie in der Liste der Protokollgruppen das Kontrollkästchen neben der Protokollgruppe, die Sie im vorherigen Verfahren erstellt haben, z. B. CloudTrail/MyCloudWatchLogGroup. Wählen Sie anschließend Metrikfilter erstellen.

5. Geben Sie beim Filtermuster Folgendes an:

   { $.eventName = "GetSecretValue" && $.errorMessage = "*secret because it was marked for deletion*" }

   Wählen Sie Assign Metric.

6. Gehen Sie auf der Seite Metrikfilter erstellen und eine Metrik zuweisen folgendermaßen vor:

   1. Geben Sie für Namespace der Metrik den Wert CloudTrailLogMetrics ein.

   2. Geben Sie für Metrikname den Wert AttemptsToAccessDeletedSecrets ein.

   3. Wählen Sie Erweiterte Metrikeinstellungen anzeigen und geben Sie dann ggf. für Metrikwert 1 ein.

   4. Wählen Sie Filter erstellen.

7. Wählen Sie im Filterfeld Alarm erstellen.

8. Führen Sie im Fenster Alarm erstellen die folgenden Schritte aus:

   1. Geben Sie bei Name AttemptsToAccessDeletedSecretsAlarm ein.

   2. Whenever (Immer wenn): Wählen Sie für is: (ist:) >= aus und geben Sie 1 ein.

   3. Gehen Sie neben Benachrichtigung senden an: folgendermaßen vor:

      • Um ein neues SNS Amazon-Thema zu erstellen und zu verwenden, wählen Sie Neue Liste und geben Sie dann einen neuen Themennamen ein. Geben Sie unter E-Mail-Liste: mindestens eine E-Mail-Adresse ein. Sie können mehrere, durch Komma abgetrennte E-Mail-Adressen eingeben.

      • Um ein vorhandenes SNS Amazon-Thema zu verwenden, wählen Sie den Namen des zu verwendenden Themas aus. Wenn keine Liste vorhanden ist, wählen Sie Select list (Liste auswählen).

   4. Wählen Sie Alarm erstellen aus.

Schritt 3: Testen Sie den CloudWatch Alarm

Um Ihren Alarm zu testen, erstellen Sie ein Geheimnis und planen Sie es dann zum Löschen ein. Versuchen Sie dann, den Secret-Wert abzurufen. Sie erhalten in Kürze eine E-Mail unter der im Alarm konfigurierten Adresse. Darin werden Sie über die Verwendung eines Gehemnisses benachrichtigt, deren Löschung geplant ist.