使用 AWS Config 审计密钥合规性 - AWS Secrets Manager

使用 AWS Config 审计密钥合规性

您可以使用 AWS Config 评估密钥及它们对内部实践、行业指南和法规的遵循情况。您可以使用 AWS Config 规则定义密钥的内部安全和合规性要求。AWS Config 之后便可以识别不符合您规则的密钥。您还可以跟踪对密钥元数据、轮换配置、用于密钥加密的 KMS 密钥、Lambda 轮换函数以及与密钥关联的标签等进行的更改。

您可以收到 Amazon SNS 发送的有关密钥配置的通知。例如,您可以接收有关未配置轮换的密钥列表的 Amazon SNS 通知,这使您能够推行用于轮换密钥的安全最佳实践。

如果您的企业在多个 AWS 账户 和 AWS 区域 中拥有密钥,则您可以聚合相关配置和合规性数据。

除亚太地区(雅加达)外,所有 AWS 区域 都支持使用 AWS Config 监控密钥。

为密钥添加新规则

保存规则后,每次密钥元数据发生更改时,AWS Config 都会评估您的密钥。您可以将 AWS Config 配置为在发生更改时通知您。有关更多信息,请参阅 AWS Config 发送到 Amazon SNS 主题的通知

聚合 AWS 账户 和 AWS 区域 中的密钥

您可以配置 AWS Config 多账户多区域数据聚合器,查看您的企业中所有账户和区域的密钥配置,然后查看密钥配置并与密钥管理最佳实践进行比较。

在创建聚合器之前,必须启用 AWS Config 以及所有账户和区域中特定于密钥的 AWS Config 托管规则。有关更多信息,请参阅使用 CloudFormation StackSets 在多个 AWS 账户 和区域提供资源。

有关 AWS Config 聚合器的更多信息,请参阅《AWS Config 开发人员指南》中的多账户多区域数据聚合使用控制台设置聚合器