为密钥管理最佳实践配置 AWS Config 多账户多区域数据聚合器 - AWS Secrets Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

为密钥管理最佳实践配置 AWS Config 多账户多区域数据聚合器

您可以配置 AWS Config 多账户多区域数据聚合期,查看您的组织中所有账户和区域的密钥配置,然后查看密钥配置并与密钥管理最佳实践进行比较。

注意

在创建聚合器之前,必须启用 AWS Config 以及所有账户和区域中特定于密钥的 AWS Config 托管规则。您可以使用 CloudFormation StackSets,在此处跨所有账户和区域启用 AWS Config 和预配置规则。

有关 AWS Config 聚合器的更多信息,请参阅《AWS Config 开发人员指南》中的多账户多区域数据聚合

您可以从组织的主账户,或组织中的任何成员账户创建聚合器。按照以下步骤创建 AWS Config 聚合器:

  1. https://console.amazonaws.cn/config/ 登录 AWS Config 控制台。

  2. 选择 Aggregators (聚合器),然后选择 Add Aggregator (添加聚合器)

  3. Allow data replication (允许数据复制) 部分中,选中 Allow AWS Config to replicate data (允许 AWS Config 复制数据)。您必须启用此功能,才能提供对组织中所有账户和区域的资源配置和合规性详细信息的主账户访问权限。

  4. Aggregator name (聚合器名称) 字段中为聚合器键入一个唯一名称,最多包含 64 个字母数字字符。

  5. Select source accounts (选择源账户) 部分中,选择 Add my organization (添加我的组织),然后单击 Choose IAM role (选择 IAM 角色)

  6. Regions (区域) 下,选择适用于您的组织的所有区域,然后选择 Save (保存)

要查看包含组织中所有密钥的控制面板,请选择聚合器的名称。现在,您可以查看所有账户和区域中的所有密钥。

有关配置 AWS Config 聚合器的更多信息,请参阅使用控制台设置聚合器

查看数据,确定您的组织中的所有不合规密钥。与个人账户和密钥拥有者合作,以便应用密钥管理最佳实践,例如确保对所有密钥进行轮换。确保所有密钥符合轮换频率的最佳实践策略,主动确定未使用的密钥并安排删除计划。

提示

可以在下面的 AWS Config 文档中找到有关 Secrets Manager 和 AWS Config 的更多信息: