本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
查找未轮换的秘密
您可以使用 Amazon Config 来评估您的密钥,以查看它们是否符合您的标准。您可以使用 Amazon Config 规则定义对机密的内部安全和合规性要求。然后 Amazon Config 可以识别不符合你规则的秘密。您还可以跟踪对密钥元数据、轮换配置、用于密钥加密的 KMS 密钥、Lambda 轮换函数以及与密钥关联的标签等进行的更改。
如果您的组织中有多个 Amazon Web Services 账户 密钥,则可以聚合该配置和合规性数据。 Amazon Web Services 区域 有关更多信息,请参阅多账户多区域数据聚合。
评估机密是否在轮换
-
按照使用Amazon Config 规则评估资源中的说明进行操作,并从以下规则中进行选择:
-
secretsmanager-rotation-enabled-check— 检查是否为存储在 Secrets Manager 中的密钥配置了轮换。 -
secretsmanager-scheduled-rotation-success-check— 检查上次成功的轮换是否在配置的轮换频率内。检查的最低频率为每天。 -
secretsmanager-secret-periodic-rotation— 检查是否已在指定的天数内轮换了密钥。
-
(可选)配置 Amazon Config 为在密钥不合规时通知您。有关更多信息,请参阅Amazon Config 发送至 Amazon SNS 主题的通知。