AWS Config を使用して Secrets Manager のシークレットをモニタリングする - AWS Secrets Manager

AWS Config を使用して Secrets Manager のシークレットをモニタリングする

AWS Secrets Manager と AWS Config との統合により、Secrets Manager のシークレットの変更を容易に追跡できます。シークレット管理のベストプラクティスに関する組織の内部ガイドラインを定義するために、さらに 2 つのマネージド型 AWS Config ルールを使用できます。また、セキュリティルールに準拠していないシークレットをすばやく特定したり、シークレットの構成変更に関する通知を Amazon SNS から受け取ったりすることもできます。例えば、ローテーション用に設定されていないシークレットのリストに関する Amazon SNS 通知を受信できます。これにより、シークレットのローテーションに関するセキュリティのベストプラクティスの適用を徹底できます。

AWS Config のマルチアカウントマルチリージョンのデータ集約を使用すると、シークレットのリストを表示し、組織全体のすべてのアカウントとリージョンの適合性を検証できます。これにより、組織全体のシークレット管理のベストプラクティスを 1 か所から作成できます。

AWS Config では、AWS リソース設定を継続的に監視および記録することにより、AWS リソース全体の設定の評価、監査、評価を行うことができ、また、必要な設定に対して記録された設定の評価を自動化することもできます。AWS Config を使用して、以下のタスクを実行できます。

  • 設定の変更と AWS リソース間の関係を確認します。

  • 詳細なリソース設定履歴を追跡します。

  • 内部ガイドラインに規定されている設定に対する全体的なコンプライアンスを決定します。

AWS にマルチアカウントおよびマルチリージョンの AWS Config リソースがある場合、複数のアカウントおよびリージョンの設定データとコンプライアンスデータを 1 つのアカウントで表示できます。これにより、複数のアカウントにわたって非準拠のリソースを特定できます。

AWS Config でシークレットを追跡することにより、シークレットは AWS Config でサポートされるリソースとなり、シークレットメタデータへの変更を追跡できます。これには、シークレットの説明やローテーション設定、シークレット暗号化に使用される KMS キーなどの他の AWS リソースとの関係、シークレットのローテーションに使用される Lambda 関数、シークレットに関連付けられたタグなどの属性に関する変更が含まれます。

また、AWS マネージド Config ルールを利用して、シークレット設定が組織のセキュリティおよびコンプライアンス要件に準拠しているかどうかを評価し、これらの標準に準拠していないシークレットを特定することもできます。