Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menyimpan kredensyal PagerDuty akses secara rahasia AWS Secrets Manager
Setelah Anda mengaktifkan integrasi dengan PagerDuty untuk rencana respons, Manajer Insiden bekerja dengan PagerDuty cara berikut:
-
Manajer Insiden membuat insiden terkait PagerDuty saat Anda membuat insiden baru di Manajer Insiden.
-
Alur kerja paging dan kebijakan eskalasi yang Anda buat PagerDuty digunakan di lingkungan. PagerDuty Namun, Manajer Insiden tidak mengimpor PagerDuty konfigurasi Anda.
-
Manajer Insiden menerbitkan peristiwa timeline sebagai catatan untuk insiden di PagerDuty, hingga maksimum 2.000 catatan.
-
Anda dapat memilih untuk menyelesaikan PagerDuty insiden secara otomatis ketika Anda menyelesaikan insiden terkait di Manajer Insiden.
Untuk mengintegrasikan Manajer Insiden dengan PagerDuty, Anda harus terlebih dahulu membuat rahasia AWS Secrets Manager yang berisi PagerDuty kredensil Anda. Ini memungkinkan Manajer Insiden untuk berkomunikasi dengan PagerDuty layanan Anda. Anda kemudian dapat menyertakan PagerDuty layanan dalam paket respons yang Anda buat di Manajer Insiden.
Rahasia yang Anda buat di Secrets Manager ini harus berisi, dalam format JSON yang tepat, berikut ini:
-
Kunci API dari PagerDuty akun Anda. Anda dapat menggunakan Kunci API REST Akses Umum atau Kunci API REST Token Pengguna.
-
Alamat email pengguna yang valid dari PagerDuty subdomain Anda.
-
Wilayah PagerDuty layanan tempat Anda menerapkan subdomain Anda.
catatan
Semua layanan dalam PagerDuty subdomain disebarkan ke wilayah layanan yang sama.
Prasyarat
Sebelum membuat rahasia di Secrets Manager, pastikan Anda memenuhi persyaratan berikut.
- Kunci KMS
-
Anda harus mengenkripsi rahasia yang Anda buat dengan kunci terkelola pelanggan yang telah Anda buat di AWS Key Management Service (AWS KMS). Anda menentukan kunci ini ketika Anda membuat rahasia yang menyimpan PagerDuty kredensyal Anda.
penting
Secrets Manager menyediakan opsi untuk mengenkripsi rahasia dengan Kunci yang dikelola AWS, tetapi mode enkripsi ini tidak didukung.
Kunci yang dikelola pelanggan harus memenuhi persyaratan berikut:
-
Jenis kunci: Pilih Simetris.
-
Penggunaan kunci: Pilih Enkripsi dan dekripsi.
-
Regionalitas: Jika Anda ingin mereplikasi paket respons Anda ke beberapa Wilayah AWS, pastikan Anda memilih kunci Multi-Wilayah.
Kebijakan kunci
Pengguna yang mengonfigurasi paket respons harus memiliki izin untuk
kms:GenerateDataKeydankms:Decryptdalam kebijakan berbasis sumber daya kunci. Kepalassm-incidents.amazonaws.comlayanan harus memiliki izin untukkms:GenerateDataKeydankms:Decryptdalam kebijakan berbasis sumber daya kunci.Kebijakan berikut menunjukkan izin ini. Ganti setiap
placeholder masukan penggunadengan informasi Anda sendiri.{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Enable IAM user permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow creator of response plan to use the key", "Effect": "Allow", "Principal": { "AWS": "IAM_ARN_of_principal_creating_response_plan" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*" }, { "Sid": "Allow Incident Manager to use the key", "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*" } ] }Untuk informasi tentang membuat kunci terkelola pelanggan baru, lihat Membuat kunci KMS enkripsi simetris di Panduan AWS Key Management Service Pengembang. Untuk informasi selengkapnya tentang AWS KMS kunci, lihat AWS KMS konsep.
Jika kunci terkelola pelanggan yang sudah ada memenuhi semua persyaratan sebelumnya, Anda dapat mengedit kebijakannya untuk menambahkan izin ini. Untuk informasi tentang memperbarui kebijakan dalam kunci terkelola pelanggan, lihat Mengubah kebijakan kunci di Panduan AWS Key Management Service Pengembang.
Tip
Anda dapat menentukan kunci kondisi untuk membatasi akses lebih jauh. Misalnya, kebijakan berikut mengizinkan akses melalui Secrets Manager di Wilayah Timur AS (Ohio) (us-timur-2) saja:
{ "Sid": "Enable IM Permissions", "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": ["kms:Decrypt", "kms:GenerateDataKey*"], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com" } } } -
GetSecretValueizin-
Identitas IAM (pengguna, peran, atau grup) yang membuat rencana respons harus memiliki izin IAM.
secretsmanager:GetSecretValue
Untuk menyimpan kredensyal PagerDuty akses secara rahasia AWS Secrets Manager
-
Ikuti langkah-langkah melalui Langkah 3a di Buat AWS Secrets Manager rahasia di Panduan AWS Secrets Manager Pengguna.
-
Untuk Langkah 3b, untuk pasangan kunci/nilai, lakukan hal berikut:
-
Pilih tab Plaintext.
-
Ganti isi default kotak dengan struktur JSON berikut:
{ "pagerDutyToken": "pagerduty-token", "pagerDutyServiceRegion": "pagerduty-region", "pagerDutyFromEmail": "pagerduty-email" } -
Dalam sampel JSON yang Anda tempel, ganti nilai
placeholdersebagai berikut:-
pagerduty-token: Nilai Kunci API REST Akses Umum atau Kunci API REST Token Pengguna dari akun Anda. PagerDutyUntuk informasi terkait, lihat Kunci Akses API
di Pangkalan PagerDuty Pengetahuan. -
pagerduty-region: Wilayahlayanan pusat PagerDuty data yang menghosting subdomain Anda. PagerDutyUntuk informasi terkait, lihat Wilayah Layanan
di Pangkalan PagerDuty Pengetahuan. -
pagerduty-email: Alamat email yang valid untuk pengguna yang termasuk dalam subdomain Anda. PagerDutyUntuk informasi terkait, lihat Mengelola Pengguna
di Pangkalan PagerDuty Pengetahuan.
Contoh berikut menunjukkan rahasia JSON lengkap yang berisi PagerDuty kredensyal yang diperlukan:
{ "pagerDutyToken": "y_NbAkKc66ryYEXAMPLE", "pagerDutyServiceRegion": "US", "pagerDutyFromEmail": "JohnDoe@example.com" } -
-
-
Pada Langkah 3c, untuk kunci Enkripsi, pilih kunci terkelola pelanggan yang Anda buat yang memenuhi persyaratan yang tercantum di bagian Prasyarat sebelumnya.
-
Pada Langkah 4c, untuk izin Sumber Daya, lakukan hal berikut:
-
Perluas izin Sumber Daya.
-
Pilih Edit izin.
-
Ganti isi default kotak kebijakan dengan struktur JSON berikut:
{ "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } -
Pilih Simpan.
-
-
Pada Langkah 4d, untuk Replikasi rahasia, lakukan hal berikut jika Anda mereplikasi rencana respons Anda ke lebih dari satu: Wilayah AWS
-
Perluas rahasia Replikasi.
-
Untuk Wilayah AWS, pilih Wilayah tempat Anda mereplikasi rencana respons Anda.
-
Untuk kunci Enkripsi, pilih kunci terkelola pelanggan yang Anda buat, atau direplikasi ke, Wilayah ini yang memenuhi persyaratan yang tercantum di bagian Prasyarat.
-
Untuk setiap tambahan Wilayah AWS, pilih Tambah Wilayah dan pilih nama Wilayah dan kunci yang dikelola pelanggan.
-
-
Selesaikan langkah-langkah yang tersisa di Buat AWS Secrets Manager rahasia di Panduan AWS Secrets Manager Pengguna.
Untuk informasi tentang cara menambahkan PagerDuty layanan ke alur kerja insiden Manajer Insiden, lihat Mengintegrasikan PagerDuty layanan ke dalam paket respons dalam topikMembuat rencana respons.
Informasi terkait
Cara Mengotomatiskan Respons Insiden dengan PagerDuty dan AWS Systems Manager Incident Manager
Enkripsi rahasia AWS Secrets Manager di Panduan AWS Secrets Manager Pengguna
