を使用してシー AWS Secrets Manager クレットのコンプライアンスをモニタリングする AWS Config

AWS Config を使用してシークレットを評価し、標準に準拠しているかどうかを確認できます。 AWS Config ルールを使用して、シークレットの内部セキュリティおよびコンプライアンス要件を定義します。その後 AWS Config 、 はルールに準拠していないシークレットを識別できます。シークレットメタデータ、ローテーション設定、シークレット暗号化に使用される KMS キー、Lambda ローテーション関数、およびシークレットに関連付けられたタグの変更を追跡することもできます。

変更を通知する AWS Config ように を設定できます。詳細については、「 が Amazon SNS トピック AWS Config に送信する通知」を参照してください。

複数の AWS アカウント と組織 AWS リージョン 内にシークレットがある場合は、その設定とコンプライアンスデータを集約できます。詳細については、「マルチアカウントマルチリージョンデータ集約」を参照してください。

シークレットがコンプライアンスに準拠しているかどうかを評価するには

• AWS Config ルール を使用して リソースを評価する手順に従い、次のいずれかのルールを選択します。

  • secretsmanager-secret-unused — 指定した日数内にシークレットがアクセスされたかどうかを確認します。

  • secretsmanager-using-cmk — シークレットが または AWS マネージドキー aws/secretsmanagerで作成したカスタマーマネージドキーを使用して暗号化されているかどうかを確認します AWS KMS。

  • secretsmanager-rotation-enabled-check — Secrets Manager に保存されているシークレットに対してローテーションが設定されているかどうかを確認します。

  • secretsmanager-scheduled-rotation-success-check – 最後に成功したローテーションが、設定されたローテーション頻度の範囲内であるかどうかをチェックします。チェックの最小頻度は日次です。

  • secretsmanager-secret-periodic-rotation — 指定した日数内にシークレットがローテーションされたかどうかを確認します。