本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用以下方法监控 Amazon Secrets Manager 密钥的合规性 Amazon Config
您可以使用 Amazon Config 来评估您的密钥,以查看它们是否符合您的标准。您可以使用 Amazon Config 规则定义对机密的内部安全和合规性要求。然后 Amazon Config 可以识别不符合你规则的秘密。您还可以跟踪机密元数据、轮换配置、用于秘密加密的 KMS 密钥、Lambda 轮换函数以及与密钥关联的标签的更改。
您可以配置 Amazon Config 为将更改通知您。有关更多信息,请参阅Amazon Config 发送至 Amazon SNS 主题的通知。
如果您的组织中有多个 Amazon Web Services 账户 密钥,则可以聚合该配置和合规性数据。 Amazon Web Services 区域 有关更多信息,请参阅多账户多区域数据聚合。
评估机密是否合规
-
按照使用Amazon Config 规则评估资源中的说明进行操作,然后选择以下规则之一:
-
secretsmanager-secret-unused
— 检查是否已在指定的天数内访问了密钥。 -
secretsmanager-using-cmk
— 检查密钥是否使用您在中创建的客户托管密钥 Amazon 托管式密钥aws/secretsmanager
或客户管理的密钥进行加密 Amazon KMS。 -
secretsmanager-rotation-enabled-check
— 检查是否为存储在 Secrets Manager 中的密钥配置了轮换。 -
secretsmanager-scheduled-rotation-success-check
— 检查上次成功的轮换是否在配置的轮换频率内。检查的最低频率为每天。 -
secretsmanager-secret-periodic-rotation
— 检查是否已在指定的天数内轮换了密钥。
-