本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 AWS Config 监控 AWS Secrets Manager 密钥的合规性
您可以使用 AWS Config 来评估您的密钥,以查看它们是否符合您的标准。您可以使用 AWS Config 规则定义密钥的内部安全和合规性要求。AWS Config 之后便可以识别不符合您规则的密钥。您还可以跟踪对密钥元数据、轮换配置、用于密钥加密的 KMS 密钥、Lambda 轮换函数以及与密钥关联的标签等进行的更改。
您可以将 AWS Config 配置为在发生更改时通知您。有关更多信息,请参阅 AWS Config 发送到 Amazon SNS 主题的通知。
如果您的企业在多个 AWS 账户 和 AWS 区域 中拥有密钥,则您可以聚合相关配置和合规性数据。有关更多信息,请参阅 Multi-account Multi-Region data aggregation。
评测密钥是否合规
-
按照 Evaluating your resources with AWS Config rules 中的说明进行操作,并从以下规则中进行选择:
-
secretsmanager-secret-unused
— 检查是否已在指定的天数内访问了密钥。 -
secretsmanager-using-cmk
— 检查是使用了 AWS 托管式密钥aws/secretsmanager
还是使用了您在 AWS KMS 中创建的客户托管密钥对密钥进行了加密。 -
secretsmanager-rotation-enabled-check
— 检查是否为存储在 Secrets Manager 中的密钥配置了轮换。 -
secretsmanager-scheduled-rotation-success-check
— 检查上次成功的轮换是否在配置的轮换频率内。检查的最低频率为每天。 -
secretsmanager-secret-periodic-rotation
— 检查是否已在指定的天数内轮换了密钥。
-