AWS Config を使用して、AWS Secrets Manager シークレットのコンプライアンスを監査する

次を使用できます。AWS Configお客様の秘密を評価し、社内プラクティス、業界ガイドライン、および規制に対する準拠状態を評価します。を使用して、シークレットに関する内部セキュリティおよびコンプライアンス要件を定義します。AWS Configルール。その後AWS Configは、ルールに準拠していないシークレットを特定できます。また、シークレットメタデータ、ローテーション設定、シークレット暗号化に使用される KMS キー、Lambda ローテーション関数、およびシークレットに関連付けられたタグの変更を追跡することもできます。

Amazon SNS からシークレットの設定に関する通知を受け取ることができます。例えば、ローテーション用に設定されていないシークレットのリストに関する Amazon SNS 通知を受信できます。これにより、シークレットのローテーションに関するセキュリティのベストプラクティスの適用を徹底できます。

秘密が複数ある場合AWS アカウントそしてAWS リージョン組織では、その構成とコンプライアンスデータを集計できます。

シークレットのルールを追加するには

• 「AWS Config マネージドルールの使用」の指示に従って、以下のいずれかのルールを選択します。

  • secretsmanager-rotation-enabled-check — Secrets Manager に保存されているシークレットに対してローテーションが設定されているかどうかを確認します。

  • secretsmanager-scheduled-rotation-success-check – 最後に成功したローテーションが、設定されたローテーション頻度の範囲内であるかどうかをチェックします。チェックの最小頻度は日次です。

  • secretsmanager-secret-periodic-rotation — 指定した日数内にシークレットがローテーションされたかどうかを確認します。

  • secretsmanager-secret-unused — 指定した日数内にシークレットがアクセスされたかどうかを確認します。

  • secretsmanager-using-cmk — シークレットが、AWS マネージドキー aws/secretsmanager または AWS KMS で作成したカスタマーマネージド型キーを使用して暗号化されているかどうかを確認します。

ルールを保存すると、シークレットのメタデータが変更されるたびに、AWS Config によってシークレットが評価されます。変更を通知するように AWS Config を設定することができます。詳細については、「AWS Config から Amazon SNS トピックに送信される通知」を参照してください。

からのシークレットの集約AWS アカウントそしてAWS リージョン

組織内のすべてのアカウントとリージョンのシークレットの設定を確認するように AWS Config のマルチアカウントマルチリージョンのデータ集約を設定し、シークレットの設定を確認して、シークレット管理のベストプラクティスと比較することができます。

アグリゲーターを作成する前に、すべてのアカウントとリージョンのシークレットに固有の AWS Config と AWS Config マネージド ルールを有効にする必要があります。詳細については、CloudFormation StackSets を利用した複数の AWS アカウント やリージョンを横断したリソース展開を参照してください。

AWS Config アグリゲータの詳細については、「AWS Config デベロッパーガイド」の「マルチアカウントマルチリージョンのデータ集約」および「コンソールを使用したアグリゲータのセットアップ」を参照してください。