Almacenar las credenciales de acceso en secreto PagerDuty AWS Secrets Manager - Incident Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Almacenar las credenciales de acceso en secreto PagerDuty AWS Secrets Manager

Tras activar la integración con un plan PagerDuty de respuesta, Incident Manager trabaja con él PagerDuty de las siguientes maneras:

  • Incident Manager crea el incidente correspondiente PagerDuty cuando se crea un nuevo incidente en Incident Manager.

  • El flujo de trabajo de paginación y las políticas de escalamiento que creó se PagerDuty utilizan en el PagerDuty entorno. Sin embargo, Incident Manager no importa la PagerDuty configuración.

  • Incident Manager publica los eventos de la cronología como notas del incidente PagerDuty, con un máximo de 2000 notas.

  • Puede optar por resolver automáticamente PagerDuty los incidentes al resolver el incidente relacionado en Incident Manager.

Para integrar Incident Manager con PagerDuty, primero debe crear una entrada secreta AWS Secrets Manager que contenga sus PagerDuty credenciales. Estas permiten a Incident Manager comunicarse con su PagerDuty servicio. A continuación, puede incluir un PagerDuty servicio en los planes de respuesta que cree en Incident Manager.

Este secreto que crea en el Administrador de secretos debe contener, en el formato JSON apropiado, lo siguiente:

  • Una clave de API de su PagerDuty cuenta. Puede utilizar una clave API de REST de acceso general o una clave API de REST de token de usuario.

  • Una dirección de correo electrónico de usuario válida de tu PagerDuty subdominio.

  • La región PagerDuty de servicio en la que implementaste tu subdominio.

    nota

    Todos los servicios de un PagerDuty subdominio se implementan en la misma región de servicio.

Requisitos previos

Antes de crear el secreto en el Administrador de secretos, asegúrese de satisfacer los siguientes requisitos.

Clave de KMS

Debe cifrar el secreto que cree con una clave gestionada por el cliente que haya creado en AWS Key Management Service ()AWS KMS. Debe especificar esta clave al crear el secreto que almacena PagerDuty sus credenciales.

importante

Secrets Manager ofrece la opción de cifrar el secreto con un Clave administrada de AWS, pero este modo de cifrado no es compatible.

La clave administrada por el cliente debe cumplir los siguientes requisitos:

  • Tipo de clave: elija Simétrica.

  • Uso de la clave: elija Cifrado y descifrado.

  • Regionalidad: si desea replicar su plan de respuesta en varias Regiones de AWS, asegúrese de seleccionar la clave multirregional.

     

Política de claves

El usuario que configure el plan de respuesta debe tener permiso para kms:GenerateDataKey y kms:Decrypt en la política basada en recursos de la clave. La entidad principal del servicio ssm-incidents.amazonaws.com debe tener permiso para kms:GenerateDataKey y kms:Decrypt en la política basada en recursos de la clave.

La siguiente política demuestra estos permisos. Reemplace cada marcador de posición de entrada del usuario con información propia.

{
    "Version": "2012-10-17",
    "Id": "key-consolepolicy-3",
    "Statement": [
        {
            "Sid": "Enable IAM user permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow creator of response plan to use the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "IAM_ARN_of_principal_creating_response_plan"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow Incident Manager to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm-incidents.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        }
    ]
}

Para obtener información sobre la creación de una nueva clave administrada por el cliente, consulte Creación de claves de KMS de cifrado simétricas en la Guía para desarrolladores de AWS Key Management Service . Para obtener más información sobre AWS KMS las claves, consulte AWS KMS los conceptos.

Si una clave administrada por el cliente existente cumple todos los requisitos anteriores, puede editar su política para añadir estos permisos. Para obtener información sobre la actualización de la política de una clave administrada por el cliente, consulte Modificación de una política de clave en la Guía para desarrolladores de AWS Key Management Service .

sugerencia

Puede especificar una clave de condición para limitar aún más el acceso. Por ejemplo, la siguiente política permite el acceso a través del Administrador de secretos solo en la región este de EE. UU. (Ohio) (us-east-2):

{
    "Sid": "Enable IM Permissions",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-incidents.amazonaws.com"
    },
    "Action": ["kms:Decrypt", "kms:GenerateDataKey*"],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com"
        }
    }
}
Permiso GetSecretValue

La identidad de IAM (usuario, rol o grupo) que crea el plan de respuesta debe tener el permiso de IAM secretsmanager:GetSecretValue.

Para almacenar las credenciales de PagerDuty acceso en AWS Secrets Manager secreto

  1. Siga los pasos del paso 3a de la sección Crear un AWS Secrets Manager secreto de la Guía del AWS Secrets Manager usuario.

  2. En el paso 3b, en Pares clave/valor, haga lo siguiente:

    • Elija la pestaña Texto sin formato.

    • Sustituya el contenido predeterminado del cuadro por la siguiente estructura JSON:

      {
    "pagerDutyToken": "pagerduty-token",
    "pagerDutyServiceRegion": "pagerduty-region",
    "pagerDutyFromEmail": "pagerduty-email"
}

    • En el ejemplo JSON que ha pegado, sustituya los valores de marcador de posición por los siguientes:

      • pagerduty-token: el valor de una clave de API REST de acceso general o de una clave de API REST de token de usuario de tu cuenta. PagerDuty

        Para obtener información relacionada, consulte las claves de acceso a las API en la base de conocimientos. PagerDuty

      • pagerduty-region: la región de servicio del centro de PagerDuty datos que aloja su subdominio. PagerDuty

        Para obtener información relacionada, consulte las regiones de servicio en la base de conocimientos. PagerDuty

      • pagerduty-email: la dirección de correo electrónico válida de un usuario que pertenece a tu subdominio. PagerDuty

        Para obtener información relacionada, consulte Administrar usuarios en la base de conocimientos. PagerDuty

      El siguiente ejemplo muestra un secreto JSON completado que contiene las PagerDuty credenciales necesarias:

      {
    "pagerDutyToken": "y_NbAkKc66ryYEXAMPLE",
    "pagerDutyServiceRegion": "US",
    "pagerDutyFromEmail": "JohnDoe@example.com"
}

  3. En el paso 3c, en Clave de cifrado, elija una clave administrada por el cliente que haya creado y que cumpla los requisitos enumerados en la sección Requisitos previos anterior.

  4. En el paso 4c, en Permisos de recursos, haga lo siguiente:

    • Expanda Permisos de recursos.

    • Elija Editar permisos.

    • Sustituya el contenido predeterminado del cuadro de políticas por la siguiente estructura JSON:

      {
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-incidents.amazonaws.com"
    },
    "Action": "secretsmanager:GetSecretValue",
    "Resource": "*"
}

    • Elija Guardar.

  5. En el paso 4d, en Replicar secreto, haga lo siguiente si ha replicado su plan de respuesta a más de una Región de AWS:

    • Expanda Replicar secreto.

    • En Región de AWS, seleccione la región a la que replicó su plan de respuesta.

    • En Clave de cifrado, elija una clave administrada por el cliente que haya creado en esta región o haya replicado a la misma y que cumpla los requisitos enumerados en la sección Requisitos previos.

    • Para cada uno de los adicionales Región de AWS, elige Añadir región y selecciona el nombre de la región y la clave gestionada por el cliente.

  6. Complete los pasos restantes de Crear un AWS Secrets Manager secreto en la Guía del AWS Secrets Manager usuario.

Para obtener información sobre cómo agregar un PagerDuty servicio al flujo de trabajo de incidentes de Incident Manager, consulte Integrar un PagerDuty servicio en el plan de respuesta en el temaCreación de un plan de respuesta.

Información relacionada

Cómo automatizar la respuesta a los incidentes con PagerDuty y AWS Systems Manager Incident Manager (blog sobre Nube de AWS operaciones y migraciones)

Cifrado de secretos en AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager