を使用してシー AWS Secrets Manager クレットのコンプライアンスをモニタリングする AWS Config

AWS Config を使用してシークレットを評価し、標準に準拠しているかどうかを確認できます。 AWS Config ルールを使用して、シークレットの内部セキュリティおよびコンプライアンス要件を定義します。その後 AWS Config 、 はルールに準拠していないシークレットを識別できます。また、シークレットメタデータ、ローテーション設定、シークレット暗号化に使用される KMS キー、Lambda ローテーション関数、シークレットに関連付けられたタグの変更を追跡することもできます。

変更を通知する AWS Config ように を設定できます。詳細については、「 が Amazon SNS トピック AWS Config に送信する通知」を参照してください。

シークレットが複数の AWS アカウント と組織 AWS リージョン にある場合は、その設定とコンプライアンスデータを集約できます。詳細については、「Multi-account Multi-Region data aggregation」を参照してください。

シークレットが準拠しているかどうかを評価するには

• AWS Config 「ルールを使用してリソースを評価する」の手順に従って、次のいずれかのルールを選択します。

  • secretsmanager-secret-unused — 指定した日数内にシークレットがアクセスされたかどうかを確認します。

  • secretsmanager-using-cmk — シークレットが AWS マネージドキー aws/secretsmanagerまたは で作成したカスタマーマネージドキーを使用して暗号化されているかどうかを確認します AWS KMS。

  • secretsmanager-rotation-enabled-check — Secrets Manager に保存されているシークレットに対してローテーションが設定されているかどうかを確認します。

  • secretsmanager-scheduled-rotation-success-check – 最後に成功したローテーションが、設定されたローテーション頻度の範囲内であるかどうかをチェックします。チェックの最小頻度は日次です。

  • secretsmanager-secret-periodic-rotation — 指定した日数内にシークレットがローテーションされたかどうかを確認します。