Fazer auditoria de conformidade de segredos usando o AWS Config - AWS Secrets Manager

Fazer auditoria de conformidade de segredos usando o AWS Config

Você pode usar o AWS Config para avaliar seus segredos e analisar seus graus de conformidade com práticas internas, diretrizes e regulamentações do setor. Você define os requisitos internos de segurança e conformidade para segredos usando regras do AWS Config. Em seguida, o AWS Config pode identificar segredos que não estão em conformidade com suas regras. Você também pode rastrear alterações em metadados de segredos, configuração de alternância, na chave KMS usada para criptografia de segredos, função de alternância do Lambda e etiquetas associadas a um segredo.

Você pode receber notificações do Amazon SNS sobre suas configurações de segredo. Por exemplo, é possível receber notificações do Amazon SNS sobre uma lista de segredos não configurados para alternância que permite que você aplique as práticas recomendadas de segurança para a alternância de segredos.

Se tiver segredos em várias Contas da AWS e Regiões da AWS em sua organização, é possível agregar esses dados de configuração e conformidade.

O monitoramento de segredos com o AWS Config é compatível com todas as Regiões da AWS, exceto a Ásia-Pacífico (Jacarta).

Para adicionar uma nova regra para seus segredos

Depois de salvar a regra, o AWS Config avaliará os segredos toda vez que os metadados de um segredo forem alterados. Você pode configurar o AWS Config para enviar notificações sobre as alterações. Para obter mais informações, consulte Notificações que o AWS Config envia para um tópico do Amazon SNS.

Agregar segredos de Contas da AWS e Regiões da AWS

É possível configurar o agregador de dados de várias contas e várias regiões do AWS Config para revisar as configurações dos segredos em todas as contas e regiões da sua organização e, depois, revisar as configurações de segredos e compará-las com as práticas recomendadas de gerenciamento de segredos.

É necessário habilitar o AWS Config e as regras gerenciadas do AWS Config específicas para segredos em todas as contas e regiões antes de criar um agregador. Para obter mais informações, consulte Usar o CloudFormation StackSets para provisionar recursos em várias regiões e Contas da AWS.

Para obter mais informações sobre o agregador do AWS Config, consulte Agregação de dados de várias regiões e várias contas e Configurar um agregador usando o console no Guia do desenvolvedor do AWS Config.