使用 Amazon Config 监控 Amazon Secrets Manager 密钥的合规性
您可以使用 Amazon Config 来评估您的密钥,以查看它们是否符合您的标准。您可以使用 Amazon Config 规则定义密钥的内部安全和合规性要求。Amazon Config 之后便可以识别不符合您规则的密钥。您还可以跟踪对密钥元数据、轮换配置、用于密钥加密的 KMS 密钥、Lambda 轮换函数以及与密钥关联的标签等进行的更改。
您可以将 Amazon Config 配置为在发生更改时通知您。有关更多信息,请参阅 Amazon Config 发送到 Amazon SNS 主题的通知。
如果您的企业在多个 Amazon Web Services 账户 和 Amazon Web Services 区域 中拥有密钥,则您可以聚合相关配置和合规性数据。有关更多信息,请参阅 Multi-account Multi-Region data aggregation。
评测密钥是否合规
-
按照 Evaluating your resources with Amazon Config rules 中的说明进行操作,并从以下规则中进行选择:
-
secretsmanager-secret-unused— 检查是否已在指定的天数内访问了密钥。 -
secretsmanager-using-cmk— 检查是使用了 Amazon 托管式密钥aws/secretsmanager还是使用了您在 Amazon KMS 中创建的客户托管密钥对密钥进行了加密。 -
secretsmanager-rotation-enabled-check— 检查是否为存储在 Secrets Manager 中的密钥配置了轮换。 -
secretsmanager-scheduled-rotation-success-check— 检查上次成功的轮换是否在配置的轮换频率内。检查的最低频率为每天。 -
secretsmanager-secret-periodic-rotation— 检查是否已在指定的天数内轮换了密钥。
-