本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon Config 审计 Amazon Secrets Manager 密钥的合规性
您可以使用 Amazon Config 评估密钥及它们对内部实践、行业指南和法规的遵循情况。您可以使用 Amazon Config 规则定义密钥的内部安全和合规性要求。Amazon Config 之后便可以识别不符合您规则的密钥。您还可以跟踪对密钥元数据、轮换配置、用于密钥加密的 KMS 密钥、Lambda 轮换函数以及与密钥关联的标签等进行的更改。
您可以收到 Amazon SNS 发送的有关密钥配置的通知。例如,您可以接收有关未配置轮换的密钥列表的 Amazon SNS 通知,这使您能够推行用于轮换密钥的安全最佳实践。
如果您的企业在多个 Amazon Web Services 账户 和 Amazon Web Services 区域 中拥有密钥,则您可以聚合相关配置和合规性数据。
为密钥添加新规则
-
请按照使用 Amazon Config 托管规则上的说明进行操作,然后选择以下规则之一:
-
secretsmanager-rotation-enabled-check— 检查是否为存储在 Secrets Manager 中的密钥配置了轮换。 -
secretsmanager-scheduled-rotation-success-check— 检查上次成功的轮换是否在配置的轮换频率内。检查的最低频率为每天。 -
secretsmanager-secret-periodic-rotation— 检查是否已在指定的天数内轮换了密钥。 -
secretsmanager-secret-unused— 检查是否已在指定的天数内访问了密钥。 -
secretsmanager-using-cmk— 检查是使用了 Amazon 托管式密钥aws/secretsmanager还是使用了您在 Amazon KMS 中创建的客户托管密钥对密钥进行了加密。
-
保存规则后,每次密钥元数据发生更改时,Amazon Config 都会评估您的密钥。您可以将 Amazon Config 配置为在发生更改时通知您。有关更多信息,请参阅 Amazon Config 发送到 Amazon SNS 主题的通知。
聚合 Amazon Web Services 账户 和 Amazon Web Services 区域 中的密钥
您可以配置 Amazon Config 多账户多区域数据聚合器,查看您的企业中所有账户和区域的密钥配置,然后查看密钥配置并与密钥管理最佳实践进行比较。
在创建聚合器之前,必须启用 Amazon Config 以及所有账户和区域中特定于密钥的 Amazon Config 托管规则。有关更多信息,请参阅使用 CloudFormation StackSets 在多个 Amazon Web Services 账户 和区域
有关 Amazon Config 聚合器的更多信息,请参阅《Amazon Config 开发人员指南》中的多账户多区域数据聚合和使用控制台设置聚合器。