使用 Amazon CloudWatch 监控 Amazon Secrets Manager
您可以使用 Amazon CloudWatch 监控 Amazon Secrets Manager。Amazon CloudWatch 会收集原始数据并将其处理为易读且近乎实时的指标。这些统计数据会保存 15 个月,从而使您能够访问历史信息,并能够更好地了解您的 Web 应用程序或服务的执行情况。此外,可以设置用于监测特定阈值的警报,并在达到相应阈值时发送通知或执行操作。有关更多信息,请参阅 Amazon CloudWatch 用户指南。
对于 Secrets Manager,您可以使用 CloudWatch 在您的 API 请求率或账户中的密钥数量达到特定阈值时提示您。您还可以使用 CloudWatch 监控 Secrets Manager 的估计费用。有关更多信息,请参阅创建账单告警以监控 Amazon 预估费用。
主题
Secrets Manager 指标和维度
AWS/SecretsManager 命名空间包括以下指标。
| 指标 | 描述 |
|---|---|
|
|
您账户中的密钥数,包括标记为删除的密钥。该指标每小时发布一次。 单位:计数 |
Secrets Manager 指标的维度。
| 维度 | 描述 |
|---|---|
Service
|
包含该资源的 Amazon 服务的名称。对于 Secrets Manager,此维度的值为 Secrets Manager。 |
Type
|
正在报告的实体的类型。对于 Secrets Manager,此维度的值为 Resource。 |
Resource
|
正在运行的资源的类型。对于 Secrets Manager,此维度的值为 SecretCount。 |
Class
|
无。 |
您可以使用 CloudWatch 指标监控的 Secrets Manager API 请求包括 GetSecretValue、DescribeSecret、ListSecrets 等。要查找指标,请在 CloudWatch 控制台中选择 All metrics(所有指标),然后在搜索框中输入搜索词,例如 secrets。
创建告警来监控 Secrets Manager 指标
您可以创建 CloudWatch 告警,使其在指标的值发生改变并导致报警改变状态时发送 Amazon SNS 消息。告警会按照您指定的时间段监控某个指标,并根据该指标在若干时间段相对于给定阈值的值执行操作。告警仅为持续状态更改调用操作。CloudWatch 告警不调用操作,因为这些操作处于特定状态;状态必须改变并保持指定时间。
有关更多信息,请参阅使用 Amazon CloudWatch 告警。
Secrets Manager 事件
Secrets Manager 可与 Amazon EventBridge 集成,以将影响您的密钥的特定事件通知您。使用 Amazon EventBridge,您可以收到除 Get* API 调用以外的 Secrets Manager 事件通知。您可以配置 EventBridge 规则来查找这些事件,然后将新生成的事件发送到某个 Amazon SNS 主题,以向该主题的订阅者发送电子邮件或短信。
有关更多信息,请参阅创建对事件作出反应的 Amazon EventBridge 规则。
Amazon CloudWatch Synthetics Canary
Amazon CloudWatch Synthetics Canary 是将按计划运行的可配置脚本,用于监控端点和 API。金丝雀遵循相同的路线并执行与客户相同的操作,这使您能够持续验证您的客户体验,即使您的应用程序中没有任何客户流量也可以。
有关如何集成 Secrets Manager 的示例,请参阅将您的 Canary 与其他 Amazon 服务集成。