Amazon と AWS Secrets Manager イベントを照合する EventBridge

Amazon では EventBridge、 CloudTrail ログエントリから Secrets Manager イベントを照合できます。これらのイベントを検索し、新しく生成されたイベントをターゲットに送信してアクションを実行する EventBridge ルールを設定できます。Secrets Manager がログに記録する CloudTrail エントリのリストについては、「」を参照してくださいCloudTrail エントリ。をセットアップする手順については EventBridge、「 ユーザーガイド」の「 の開始 EventBridge方法EventBridge 」を参照してください。

指定したシークレットに対するすべての変更にマッチさせる

注記

Secrets Manager イベントの中には、シークレットの ARN を異なる大文字で返すものもあるため、複数のアクションにマッチするイベントパターンでは、ARN でシークレットを指定するために、arn キーと aRN の両方を含める必要がある場合があります。詳細については、「AWS re:Post」を参照してください。

次の例は、シークレットへの変更のログエントリに一致する EventBridge イベントパターンを示しています。

{
    "source": ["aws.secretsmanager"],
    "detail-type": ["AWS API Call via CloudTrail"],
    "detail": {
        "eventSource": ["secretsmanager.amazonaws.com"],
        "eventName": ["DeleteResourcePolicy", "PutResourcePolicy", "RotateSecret", "TagResource", "UntagResource", "UpdateSecret"],
        "responseElements": {
            "arn": ["arn:aws:secretsmanager:us-west-2:012345678901:secret:mySecret-a1b2c3"]
        }
    }
}

シークレット値がローテーションされたらイベントをマッチさせる

次の例は、手動更新または自動ローテーションによって発生するシークレット値の変更の CloudTrail ログエントリに一致する EventBridge イベントパターンを示しています。これらのイベントには、Secrets Manager の操作によるものもあれば、Secrets Manager サービスによって生成されるものもあるため、detail-type を両方に含める必要があります。

{
    "source": ["aws.secretsmanager"],
    "$or": [
        { "detail-type": ["AWS API Call via CloudTrail"] }, 
        { "detail-type": ["AWS Service Event via CloudTrail"] }
    ],
    "detail": {
        "eventSource": ["secretsmanager.amazonaws.com"],
        "eventName": ["PutSecretValue", "UpdateSecret", "RotationSucceeded"]
    }
}