Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Monitore quando AWS Secrets Manager os segredos programados para exclusão são acessados

PDF
RSS
Modo de foco
Monitore quando AWS Secrets Manager os segredos programados para exclusão são acessados - AWS Secrets Manager
Etapa 1: configurar a entrega do arquivo de CloudTrail log para o CloudWatch Logs Etapa 2: criar o CloudWatch alarmeEtapa 3: testar o CloudWatch alarme

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Você pode usar uma combinação de AWS CloudTrail Amazon CloudWatch Logs e Amazon Simple Notification Service (Amazon SNS) para criar um alarme que notifique você sobre qualquer tentativa de acessar uma exclusão secreta pendente. Se você receber uma notificação de um alarme, talvez queira cancelar a exclusão do segredo para ter mais tempo para decidir se deseja realmente excluí-lo. Sua investigação talvez resulte na restauração do segredo porque ainda precisa dele. Como alternativa, talvez seja necessário atualizar o usuário com detalhes do novo segredo a ser usado.

Os procedimentos a seguir explicam como receber uma notificação quando uma solicitação para a GetSecretValue operação resulta em uma mensagem de erro específica gravada em seus arquivos de CloudTrail log. É possível executar outras operações de API no segredo sem acionar o alarme. Esse CloudWatch alarme detecta um uso que pode indicar que uma pessoa ou aplicativo está usando credenciais desatualizadas.

Antes de iniciar esses procedimentos, você deve ativar a conta Região da AWS e CloudTrail na qual pretende monitorar as solicitações de AWS Secrets Manager API. Para obter instruções, consulte Criar uma trilha pela primeira vez no Guia do usuário do AWS CloudTrail .

Etapa 1: configurar a entrega do arquivo de CloudTrail log para o CloudWatch Logs

Você deve configurar a entrega de seus arquivos de CloudTrail log para o CloudWatch Logs. Você faz isso para que CloudWatch os Logs possam monitorá-los em busca de solicitações da API Secrets Manager para recuperar um segredo pendente de exclusão.

Para configurar a entrega do arquivo de CloudTrail log para o CloudWatch Logs

  1. Abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

  2. Na barra de navegação superior, escolha a opção Região da AWS para monitorar segredos.

  3. No painel de navegação esquerdo, escolha Trilhas e, em seguida, escolha o nome da trilha a ser configurada. CloudWatch

  4. Na página Configuração de trilhas, role para baixo até a seção CloudWatch Registros e escolha o ícone de edição ( Remote control icon with power, volume, and channel buttons. ).

  5. Em New or existing log group, digite um nome para o grupo de log, como CloudTrail/MyCloudWatchLogGroup.

  6. Para a função do IAM, você pode usar a função padrão chamada CloudTrail_ CloudWatchLogs _Role. Essa função tem uma política de função padrão com as permissões necessárias para entregar CloudTrail eventos ao grupo de registros.

  7. Escolha Continue para salvar suas configurações.

  8. Em AWS CloudTrail Entregará CloudTrail eventos associados à atividade da API em sua conta na página do grupo de CloudWatch registros de registros, escolha Permitir.

Etapa 2: criar o CloudWatch alarme

Para receber uma notificação quando uma operação GetSecretValue da API Secrets Manager solicitar o acesso a uma exclusão secreta pendente, você deve criar um CloudWatch alarme e configurar a notificação.

Para criar um CloudWatch alarme

  1. Faça login no CloudWatch console em https://console.aws.amazon.com/cloudwatch/.

  2. Na barra de navegação superior, escolha a AWS região em que você deseja monitorar os segredos.

  3. No painel de navegação esquerdo, selecione Logs.

  4. Na lista de grupos de registros, marque a caixa de seleção ao lado do grupo de registros que você criou no procedimento anterior, como CloudTrail/MyCloudWatchLogGroup. Escolha Create Metric Filter (Criar filtro de métrica).

  5. Para Filter Pattern, digite ou cole o seguinte:

    { $.eventName = "GetSecretValue" && $.errorMessage = "*secret because it was marked for deletion*" }

    Escolha Assign Metric (Atribuir métrica).

  6. Na página Create Metric Filter and Assign a Metric (Criar filtro de métrica e atribuir uma métrica), faça o seguinte:

    1. Em Metric Namespace (Namespace da métrica), digite CloudTrailLogMetrics.

    2. Para Metric Name (Nome da métrica), digite AttemptsToAccessDeletedSecrets.

    3. Escolha Show advanced metric settings, em seguida, se necessário, para Metric Value, digite 1.

    4. Selecione Create Filter (Criar filtro).

  7. Na caixa de filtro, selecione Create Alarm (Criar alarme).

  8. Na janela Create Alarm (Criar alarme), faça o seguinte:

    1. Para Name (Nome), digite AttemptsToAccessDeletedSecretsAlarm.

    2. Em Whenever: (Sempre:), em is: (é:), escolha >= e digite 1.

    3. Ao lado de Send notification to:, siga um destes procedimentos:

      • Para criar e usar um novo tópico do Amazon SNS, escolha New list (Nova lista) e digite o nome do novo tópico. Para Lista de e-mails:, digite pelo menos um endereço de e-mail. É possível digitar mais de um endereço de e-mail, basta separá-los com vírgulas.

      • Para usar um tópico existente do Amazon SNS, escolha o nome do tópico a ser usado. Se a lista não existir, escolha Select list (Selecionar lista).

    4. Escolha Create Alarm.

Etapa 3: testar o CloudWatch alarme

Para testar seu alarme, crie um segredo e, em seguida, programe sua exclusão. Em seguida, tente recuperar o valor do segredo. Em breve, você receberá um e-mail no endereço configurado no alarme. Ele alerta sobre o uso de um segredo com a exclusão programada.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.