Supervise cuándo se accede a los AWS Secrets Manager secretos cuya eliminación está programada - AWS Secrets Manager
Paso 1: Configurar la entrega de archivos de CloudTrail registro a CloudWatch Logs Paso 2: Crea la CloudWatch alarmaPaso 3: Pruebe la CloudWatch alarma

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Supervise cuándo se accede a los AWS Secrets Manager secretos cuya eliminación está programada

Puedes usar una combinación de AWS CloudTrail Amazon CloudWatch Logs y Amazon Simple Notification Service (AmazonSNS) para crear una alarma que te notifique cualquier intento de acceder a un secreto pendiente de eliminación. Si recibe una notificación de una alarma de este tipo, es posible que prefiera cancelar la eliminación del secreto para disponer de más tiempo y poder determinar si realmente desea eliminarlo. Es posible que finalmente el secreto se restaure porque siga siendo necesario. Por otro lado, también es posible que necesite actualizar el usuario con los detalles del nuevo secreto que desee usar.

Los siguientes procedimientos explican cómo recibir una notificación cuando se solicita una GetSecretValue operación que dé lugar a un mensaje de error específico en sus archivos de CloudTrail registro. Se pueden realizar otras API operaciones en el secreto sin activar la alarma. Esta CloudWatch alarma detecta un uso que podría indicar que una persona o una aplicación utilizan credenciales desactualizadas.

Antes de iniciar estos procedimientos, debe activar la cuenta Región de AWS y CloudTrail en la que pretende supervisar AWS Secrets Manager API las solicitudes. Para obtener instrucciones, vaya a Creación de un registro de seguimiento por primera vez en la Guía del usuario de AWS CloudTrail .

Paso 1: Configurar la entrega de archivos de CloudTrail registro a CloudWatch Logs

Debe configurar la entrega de sus archivos de CloudTrail registro a CloudWatch Logs. Esto se hace para que CloudWatch Logs pueda supervisarlos en busca de API solicitudes de Secrets Manager para recuperar un secreto pendiente de ser eliminado.

Para configurar la entrega de archivos de CloudTrail registro a CloudWatch Logs

  1. Abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

  2. En la barra de navegación superior, selecciona la opción Región de AWS para monitorizar los secretos.

  3. En el panel de navegación izquierdo, selecciona Rutas y, a continuación, elige el nombre de la ruta que deseas configurar CloudWatch.

  4. En la página de configuración de senderos, desplácese hacia abajo hasta la sección CloudWatch Registros y, a continuación, elija el icono de edición ( ).

  5. Para New or existing log group, escriba un nombre del grupo de registros, como CloudTrail/MyCloudWatchLogGroup.

  6. Como IAMrol, puedes usar el rol predeterminado llamado CloudTrail_ CloudWatchLogs _Role. Este rol tiene una política de roles predeterminada con los permisos necesarios para entregar CloudTrail eventos al grupo de registros.

  7. Elija Continue (Continuar) para guardar la configuración.

  8. En la AWS CloudTrail página para enviar CloudTrail los eventos asociados a API la actividad de tu cuenta a tu grupo de CloudWatch registros, selecciona Permitir.

Paso 2: Crea la CloudWatch alarma

Para recibir una notificación cuando una GetSecretValue API operación de Secrets Manager solicite acceder a un secreto pendiente de eliminación, debe crear una CloudWatch alarma y configurar la notificación.

Para crear una CloudWatch alarma

  1. Inicie sesión en la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/.

  2. En la barra de navegación superior, elige la AWS región en la que quieres supervisar los secretos.

  3. En el panel de navegación izquierdo, elija Logs (Registros).

  4. En la lista de grupos de registros, active la casilla de verificación situada junto al grupo de registros que creó en el procedimiento anterior, como CloudTrail/MyCloudWatchLogGroup. A continuación, elija Create Metric Filter.

  5. En Filter Pattern, escriba o pegue lo siguiente:

    { $.eventName = "GetSecretValue" && $.errorMessage = "*secret because it was marked for deletion*" }

    Elija Assign Metric (Asignar métrica).

  6. En la página Create Metric Filter and Assign a Metric, haga lo siguiente:

    1. En Metric Namespace (Espacio de nombres de métrica), escriba CloudTrailLogMetrics.

    2. En Nombre de métrica, escriba AttemptsToAccessDeletedSecrets.

    3. Elija Show advanced metric settings y, a continuación, si es necesario para Metric Value, escriba 1.

    4. Elija Create Filter.

  7. En el cuadro de filtro, elija Create Alarm.

  8. En la ventana Create Alarm, haga lo siguiente:

    1. En Name (Nombre), escriba AttemptsToAccessDeletedSecretsAlarm.

    2. Whenever: (Donde:), para is: (es:), elija >= y, a continuación, escriba 1.

    3. Junto a Send notification to:, realice una de las siguientes acciones:

      • Para crear y usar un nuevo SNS tema de Amazon, selecciona Nueva lista y, a continuación, escribe un nombre de tema nuevo. En Email list:, escriba al menos una dirección de correo electrónico. Puede escribir varias direcciones de correo electrónico separándolas con comas.

      • Para usar un SNS tema de Amazon existente, elige el nombre del tema que quieres usar. Si no existe ninguna lista, elija Select list (Seleccionar lista).

    4. Seleccione Crear alarma.

Paso 3: Pruebe la CloudWatch alarma

Para probar la alarma, cree un secreto y prográmelo para su eliminación. A continuación, intente recuperar el valor secreto. Al poco tiempo recibirá un correo electrónico en la dirección que haya configurado en la alarma. Es un aviso sobre el uso de un secreto programado para su eliminación.