Monitoramento do Secrets Manager com o Amazon CloudWatch - AWS Secrets Manager

Monitoramento do Secrets Manager com o Amazon CloudWatch

Você pode monitorar o AWS Secrets Manager usando o Amazon CloudWatch, que coleta dados brutos e os processa em métricas legíveis quase em tempo real. Essas estatísticas são mantidas por 15 meses, de maneira que você possa acessar informações históricas e ter uma perspectiva melhor de como o aplicativo web ou o serviço está se saindo. Você também pode definir alarmes que observam determinados limites e enviam notificações ou realizam ações quando esses limites são atingidos. Para obter mais informações, consulte o Guia do usuário do Amazon CloudWatch.

Para o Secrets Manager, é possível usar o CloudWatch para alertar você quando sua taxa de solicitação para APIs ou o número de segredos em sua conta atingir um limite específico. Você também pode usar o CloudWatch para monitorar as estimativas de cobrança do Secrets Manager. Para mais informações, consulte Criar um alarme de faturamento para monitorar suas cobranças estimadas da AWS.

Métricas e dimensões do Secrets Manager

O namespace AWS/SecretsManager inclui as métricas a seguir.

Métrica Descrição

SecretCount

O número de segredos na sua conta, incluindo segredos marcados para exclusão. A métrica é publicada de hora em hora.

Unidade: contagem

Há suporte para as dimensões a seguir para as métricas do Secrets Manager.

Dimensão Descrição
Service O nome do serviço da AWS que contém o recurso. Para o Secrets Manager, o valor dessa dimensão é Secrets Manager.
Type O tipo de entidade que está sendo relatado. Para o Secrets Manager, o valor dessa dimensão é Resource.
Resource O tipo de recurso que está em execução. Para o Secrets Manager, o valor dessa dimensão é SecretCount.
Class Nenhum.

As solicitações da API do Secrets Manager que você pode monitorar usando métricas do CloudWatch incluem GetSecretValue, DescribeSecret, ListSecrets e outras. Para encontrar métricas, no console do CloudWatch, escolha All metrics (Todas as métricas) e, em seguida, na caixa de pesquisa, digite o termo da pesquisa, por exemplo, secrets.

Crie alarmes para monitorar as métricas do Secrets Manager

É possível criar um alarme do CloudWatch que envie uma mensagem do Amazon SNS quando o valor da métrica é alterado e faz com que o estado do alarme mude. Um alarme observa uma métrica ao longo de um período especificado por você e realiza ações com base no valor da métrica relativo a um determinado limite ao longo de vários períodos. Os alertas invocam ações apenas para alterações de estado mantidas. Os alarmes do CloudWatch não invocam ações simplesmente por estarem em um estado específico. O estado deve ter sido alterado e mantido por um número específico de períodos.

Para obter mais informações, consulte Uso de alarmes do Amazon CloudWatch.

Eventos do Secrets Manager

O Secrets Manager integra-se ao Amazon EventBridge para notificar você sobre determinados eventos que afetam seus segredos. Com o Amazon EventBridge, você pode ser notificado sobre os eventos do Secrets Manager, exceto chamadas de API Get*. Você pode configurar regras do EventBridge que procurem esses eventos e, em seguida, enviar novos eventos gerados a um tópico do Amazon SNS que envie emails ou mensagens de texto aos assinantes.

Para obter mais informações, consulte Criação de regras do Amazon EventBridge que reajam a eventos.

Canaries do Amazon CloudWatch Synthetics

Os canaries do Amazon CloudWatch Synthetics são scripts configuráveis que são executados de acordo com uma programação, para monitorar endpoints e APIs. Os canaries seguem as mesmas rotas e executam as mesmas ações que um cliente, o que possibilita verificar continuamente a experiência do cliente, mesmo quando você não tem nenhum tráfego de cliente em seus aplicativos.

Para obter um exemplo de como integrar o Secrets Manager, consulte Integração do seu canary com outros serviços da AWS.