使用 Amazon Config 审计 Amazon Secrets Manager 密钥的合规性 - Amazon Secrets Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用 Amazon Config 审计 Amazon Secrets Manager 密钥的合规性

您可以使用 Amazon Config 评估密钥及它们对内部实践、行业指南和法规的遵循情况。您可以使用 Amazon Config 规则定义密钥的内部安全和合规性要求。Amazon Config 之后便可以识别不符合您规则的密钥。您还可以跟踪对密钥元数据、轮换配置、用于密钥加密的 KMS 密钥、Lambda 轮换函数以及与密钥关联的标签等进行的更改。

您可以收到 Amazon SNS 发送的有关密钥配置的通知。例如,您可以接收有关未配置轮换的密钥列表的 Amazon SNS 通知,这使您能够推行用于轮换密钥的安全最佳实践。

如果您的企业在多个 Amazon Web Services 账户 和 Amazon Web Services 区域 中拥有密钥,则您可以聚合相关配置和合规性数据。

除亚太地区(雅加达)外,所有 Amazon Web Services 区域 都支持使用 Amazon Config 监控密钥。

为密钥添加新规则

保存规则后,每次密钥元数据发生更改时,Amazon Config 都会评估您的密钥。您可以将 Amazon Config 配置为在发生更改时通知您。有关更多信息,请参阅 Amazon Config 发送到 Amazon SNS 主题的通知

聚合 Amazon Web Services 账户 和 Amazon Web Services 区域 中的密钥

您可以配置 Amazon Config 多账户多区域数据聚合器,查看您的企业中所有账户和区域的密钥配置,然后查看密钥配置并与密钥管理最佳实践进行比较。

在创建聚合器之前,必须启用 Amazon Config 以及所有账户和区域中特定于密钥的 Amazon Config 托管规则。有关更多信息,请参阅使用 CloudFormation StackSets 在多个 Amazon Web Services 账户 和区域提供资源。

有关 Amazon Config 聚合器的更多信息,请参阅《Amazon Config 开发人员指南》中的多账户多区域数据聚合使用控制台设置聚合器