使用 Amazon CloudWatch 监控 Amazon Secrets Manager - Amazon Secrets Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 Amazon CloudWatch 监控 Amazon Secrets Manager

您可以使用 Amazon CloudWatch 监控 Amazon Secrets Manager。Amazon CloudWatch 会收集原始数据并将其处理为易读且近乎实时的指标。这些统计数据会保存 15 个月,从而使您能够访问历史信息,并能够更好地了解您的 Web 应用程序或服务的执行情况。此外,可以设置用于监测特定阈值的警报,并在达到相应阈值时发送通知或执行操作。有关更多信息,请参阅 Amazon CloudWatch 用户指南

对于 Secrets Manager,您可以使用 CloudWatch 在您的 API 请求率或账户中的密钥数量达到特定阈值时提示您。您还可以使用 CloudWatch 监控 Secrets Manager 的估计费用。有关更多信息,请参阅创建账单告警以监控 Amazon 预估费用

Secrets Manager 指标和维度

AWS/SecretsManager 命名空间包括以下指标。

指标 描述

ResourceCount

您账户中的密钥数,包括标记为删除的密钥。该指标每小时发布一次。

单位:计数

Secrets Manager 指标的维度。

维度 描述
Service 包含该资源的 Amazon 服务的名称。对于 Secrets Manager,此维度的值为 Secrets Manager
Type 正在报告的实体的类型。对于 Secrets Manager,此维度的值为 Resource
Resource 正在运行的资源的类型。对于 Secrets Manager,此维度的值为 SecretCount
Class 无。

您可以使用 CloudWatch 指标监控的 Secrets Manager API 请求包括 GetSecretValueDescribeSecretListSecrets 等。要查找指标,请在 CloudWatch 控制台中选择 All metrics(所有指标),然后在搜索框中输入搜索词,例如 secrets

创建告警来监控 Secrets Manager 指标

您可以创建 CloudWatch 告警,使其在指标的值发生改变并导致报警改变状态时发送 Amazon SNS 消息。告警会按照您指定的时间段监控某个指标,并根据该指标在若干时间段相对于给定阈值的值执行操作。告警仅为持续状态更改调用操作。CloudWatch 告警不调用操作,因为这些操作处于特定状态;状态必须改变并保持指定时间。

有关更多信息,请参阅使用 Amazon CloudWatch 告警

Secrets Manager 事件

Secrets Manager 可与 Amazon EventBridge 集成,以将影响您的密钥的特定事件通知您。使用 Amazon EventBridge,您可以收到除 Get* API 调用以外的 Secrets Manager 事件通知。您可以配置 EventBridge 规则来查找这些事件,然后将新生成的事件发送到某个 Amazon SNS 主题,以向该主题的订阅者发送电子邮件或短信。

有关更多信息,请参阅创建对事件作出反应的 Amazon EventBridge 规则

Amazon CloudWatch Synthetics Canary

Amazon CloudWatch Synthetics Canary 是将按计划运行的可配置脚本,用于监控端点和 API。金丝雀遵循相同的路线并执行与客户相同的操作,这使您能够持续验证您的客户体验,即使您的应用程序中没有任何客户流量也可以。

有关如何集成 Secrets Manager 的示例,请参阅将您的 Canary 与其他 Amazon 服务集成