使用 AWS Config 审计 AWS Secrets Manager 密钥的合规性

您可以使用 AWS Config 评估密钥及它们对内部实践、行业指南和法规的遵循情况。您可以使用 AWS Config 规则定义密钥的内部安全和合规性要求。AWS Config 之后便可以识别不符合您规则的密钥。您还可以跟踪对密钥元数据、轮换配置、用于密钥加密的 KMS 密钥、Lambda 轮换函数以及与密钥关联的标签等进行的更改。

您可以收到 Amazon SNS 发送的有关密钥配置的通知。例如，您可以接收有关未配置轮换的密钥列表的 Amazon SNS 通知，这使您能够推行用于轮换密钥的安全最佳实践。

如果您的企业在多个 AWS 账户 和 AWS 区域 中拥有密钥，则您可以聚合相关配置和合规性数据。

为密钥添加新规则

• 请按照使用 AWS Config 托管规则上的说明进行操作，然后选择以下规则之一：

  • secretsmanager-rotation-enabled-check — 检查是否为存储在 Secrets Manager 中的密钥配置了轮换。

  • secretsmanager-scheduled-rotation-success-check— 检查上次成功的轮换是否在配置的轮换频率内。检查的最低频率为每天。

  • secretsmanager-secret-periodic-rotation — 检查是否已在指定的天数内轮换了密钥。

  • secretsmanager-secret-unused — 检查是否已在指定的天数内访问了密钥。

  • secretsmanager-using-cmk — 检查是使用了 AWS 托管式密钥 aws/secretsmanager 还是使用了您在 AWS KMS 中创建的客户托管密钥对密钥进行了加密。

保存规则后，每次密钥元数据发生更改时，AWS Config 都会评估您的密钥。您可以将 AWS Config 配置为在发生更改时通知您。有关更多信息，请参阅 AWS Config 发送到 Amazon SNS 主题的通知。

聚合 AWS 账户 和 AWS 区域 中的密钥

您可以配置 AWS Config 多账户多区域数据聚合器，查看您的企业中所有账户和区域的密钥配置，然后查看密钥配置并与密钥管理最佳实践进行比较。

在创建聚合器之前，必须启用 AWS Config 以及所有账户和区域中特定于密钥的 AWS Config 托管规则。有关更多信息，请参阅使用 CloudFormation StackSets 在多个 AWS 账户 和区域提供资源。

有关 AWS Config 聚合器的更多信息，请参阅《AWS Config 开发人员指南》中的多账户多区域数据聚合和使用控制台设置聚合器。