Registro de eventos do AWS Secrets Manager com AWS CloudTrail - AWS Secrets Manager

Registro de eventos do AWS Secrets Manager com AWS CloudTrail

O AWS CloudTrail registra como eventos todas as chamadas de API para o Secrets Manager, incluindo chamadas do console do Secrets Manager. O CloudTrail também captura os seguintes eventos:

  • Evento RotationAbandoned – O Secrets Manager removeu o rótulo AWSPENDING de uma versão existente de um segredo. Ao criar manualmente uma nova versão de um segredo, você envia uma mensagem sinalizando o abandono da alternância atual em andamento em favor da nova versão do segredo. Como resultado, o Secrets Manager remove o rótulo AWSPENDING para permitir que futuras alternâncias sejam bem-sucedidas e para publicar um evento do CloudTrail e fornecer conscientização da mudança.

  • Evento RotationStarted – Um segredo iniciou a alternância.

  • Evento RotationSucceeded – Um evento de alternância bem-sucedido.

  • Evento RotationFailed – Falha na alternância do segredo.

  • Evento de StartSecretVersionDelete: um mecanismo que notifica você sobre a exclusão inicial de uma versão do segredo.

  • Evento CancelSecretVersionDelete – Um cancelamento de exclusão para uma versão secreta.

  • Evento EndSecretVersionDelete – Uma exclusão final da versão secreta.

Você pode usar o console do CloudTrail para visualizar os últimos 90 dias de eventos registrados. Para obter um registro contínuo de eventos na sua conta da AWS, incluindo eventos do Secrets Manager, crie uma trilha para que o CloudTrail entregue arquivos de log para um bucket do Amazon S3. Consulte Criar uma trilha para sua conta da AWS. Você também pode configurar o CloudTrail para receber arquivos de log de várias Contas da AWS e Regiões da AWS.

É possível configurar outros serviços da AWS para analisar e atuar mais profundamente nos os dados coletados nos logs do CloudTrail. Consulte Integrações de serviços da AWS com logs do CloudTrail. Você poderá receber notificações quando o CloudTrail publicar novos arquivos de log em seu bucket do Amazon S3. Consulte Configurar notificações do Amazon SNS para o CloudTrail.

Para recuperar eventos do Secrets Manager dos logs do CloudTrail (console)

  1. Abra o console do CloudTrail em https://console.aws.amazon.com/cloudfront/.

  2. Certifique-se de que o console esteja apontando para a região em que os eventos ocorreram. O console mostra apenas os eventos que ocorreram na região selecionada. Escolha a região na lista suspensa no canto superior direito do console.

  3. No painel de navegação à esquerda, escolha Histórico de eventos.

  4. Escolha o critério Filtro e/ou um Período para ajudar a encontrar o evento que você está procurando. Por exemplo, para ver todos os eventos do Secrets Manager, em Select attribute (Selecionar atributo), escolha Event source (Origem do evento). Em seguida, em Inserir origem do evento, escolha secretsmanager.amazonaws.com.

  5. Para ver outros detalhes, escolha a seta de expansão ao lado do evento. Para ver todas as informações disponíveis, escolha Visualizar evento.

AWS CLI ou SDK

Para recuperar eventos do Secrets Manager dos logs do CloudTrail (AWS CLI ou SDK)

  1. Abra uma janela de comando para executar comandos da AWS CLI.

  2. Execute um comando semelhante ao seguinte:

    $ aws cloudtrail lookup-events --region us-east-1 --lookup-attributes AttributeKey=EventSource,AttributeValue=secretsmanager.amazonaws.com { "Events": [ { "EventId": "EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE", "EventName": "CreateSecret", "EventTime": 1525106994.0, "Username": "Administrator", "Resources": [], "CloudTrailEvent": "{\"eventVersion\":\"1.05\",\"userIdentity\":{\"type\":\"IAMUser\",\"principalId\":\"AKIAIOSFODNN7EXAMPLE\", \"arn\":\"arn:aws:iam::123456789012:user/Administrator\",\"accountId\":\"123456789012\",\"accessKeyId\":\"AKIAIOSFODNN7EXAMPLE\", \"userName\":\"Administrator\"},\"eventTime\":\"2018-04-30T16:49:54Z\",\"eventSource\":\"secretsmanager.amazonaws.com\", \"eventName\":\"CreateSecret\",\"awsRegion\":\"us-east-2\",\"sourceIPAddress\":\"192.168.100.101\", \"userAgent\":\"<useragent string>\",\"requestParameters\":{\"name\":\"MyTestSecret\", \"clientRequestToken\":\"EXAMPLE2-90ab-cdef-fedc-ba987EXAMPLE\"},\"responseElements\":null, \"requestID\":\"EXAMPLE3-90ab-cdef-fedc-ba987EXAMPLE\",\"eventID\":\"EXAMPLE4-90ab-cdef-fedc-ba987EXAMPLE\", \"eventType\":\"AwsApiCall\",\"recipientAccountId\":\"123456789012\"}" } ] }

Exemplos de entradas de log do Secrets Manager

O exemplo a seguir mostra uma entrada de log do CloudTrail para uma amostra do CreateSecret:

{ "eventVersion": "1.05", "userIdentity": { "type": "Root", "principalId": "123456789012", "arn": "arn:aws:iam::123456789012:root", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "myusername", "sessionContext": {"attributes": { "mfaAuthenticated": "false", "creationDate": "2018-04-03T17:43:50Z" }} }, "eventTime": "2018-04-03T17:50:55Z", "eventSource": "secretsmanager.amazonaws.com", "eventName": "CreateSecret", "awsRegion": "us-east-2", "requestParameters": { "name": "MyDatabaseSecret", "clientRequestToken": "EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE" }, "responseElements": null, "requestID": "EXAMPLE2-90ab-cdef-fedc-ba987EXAMPLE", "eventID": "EXAMPLE3-90ab-cdef-fedc-ba987EXAMPLE", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }

O exemplo a seguir mostra uma entrada de log do CloudTrail para uma amostra do DeleteSecret:

{ "eventVersion": "1.05", "userIdentity": { "type": "Root", "principalId": "123456789012", "arn": "arn:aws:iam::123456789012:root", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "myusername", "sessionContext": {"attributes": { "mfaAuthenticated": "false", "creationDate": "2018-04-03T17:43:50Z" }} }, "eventTime": "2018-04-03T17:51:02Z", "eventSource": "secretsmanager.amazonaws.com", "eventName": "DeleteSecret", "awsRegion": "us-east-2", "requestParameters": { "recoveryWindowInDays": 30, "secretId": "MyDatabaseSecret" }, "responseElements": { "name": "MyDatabaseSecret", "deletionDate": "May 3, 2018 5:51:02 PM", "aRN": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MyDatabaseSecret-a1b2c3" }, "requestID": "EXAMPLE2-90ab-cdef-fedc-ba987EXAMPLE", "eventID": "EXAMPLE3-90ab-cdef-fedc-ba987EXAMPLE", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }