使用 Amazon CloudTrail 记录 Amazon Secrets Manager 事件

Amazon CloudTrail 会将所有对 Secrets Manager 的 API 调用记录为事件，包括从 Secrets Manager 控制台发起的调用，以及有关轮换和密钥版本删除的多个其他事件。

您可以使用 CloudTrail 控制台查看过去 90 天内记录的事件。要持续记录 Amazon 账户中的事件（包括 Secrets Manager 事件），您可以创建跟踪记录，以便 CloudTrail 将日志文件传输到 Amazon S3 存储桶。请参阅为您的 Amazon 账户创建跟踪记录。您还可以配置 CloudTrail 以接收来自多个 Amazon Web Services 账户和 Amazon Web Services 区域的 CloudTrail 日志文件。

您可以配置其他 Amazon 服务，进一步分析在 CloudTrail 日志中收集的数据并采取措施。请参阅 Amazon 服务与 CloudTrail 日志集成。在 CloudTrail 将新的日志文件发布到您的 Amazon S3 存储桶时，您还可以收到通知。请参阅为 CloudTrail 配置 Amazon SNS 通知。

从 CloudTrail 日志中检索 Secrets Manager 事件（控制台）

访问 https://console.aws.amazon.com/cloudtrail/，打开 CloudTrail 控制台。
确保控制台指向发生事件的区域。控制台仅显示在所选区域中发生的那些事件。从控制台右上角的下拉列表中选择区域。
在左侧导航窗格中，选择 Event history (事件历史记录)。
选择 Filter (筛选) 条件和/或 Time range (时间范围) 以帮助您查找您在寻找的事件。例如，要查看所有 Secrets Manager 事件，对于 Select attribute (选择属性)，选择 Event source (事件源)。然后，对于 Enter event source (输入事件源)，选择 secretsmanager.amazonaws.com。
要查看更多详细信息，请选择事件旁边的展开箭头。要查看所有可用信息，请选择 View event (查看事件)。

Amazon CLI

例从 CloudTrail 日志检索 Secrets Manager 事件

以下 lookup-events 示例将查找 Secrets Manager 事件。


aws cloudtrail lookup-events \
    --region us-east-1 \
    --lookup-attributes AttributeKey=EventSource,AttributeValue=secretsmanager.amazonaws.com

Secrets Manager 日志条目

CancelRotateSecret: 由 CancelRotateSecret 操作生成。有关轮换的更多信息，请参阅轮换 Amazon Secrets Manager 密钥。
CancelSecretVersionDelete: 如果在具有版本的密钥上调用 DeleteSecret，然后再调用 RestoreSecret，则 Secrets Manager 会为还原的每个密钥版本记录此事件。有关还原已删除密钥的信息，请参阅恢复 Amazon Secrets Manager 密钥。
CreateSecret: 由 CreateSecret 操作生成。有关创建密钥的信息，请参阅用 Amazon Secrets Manager 创建和管理密钥。
DeleteResourcePolicy: 由 DeleteResourcePolicy 操作生成。有关权限的信息，请参阅 Amazon Secrets Manager 的身份验证和访问控制。
DeleteSecret: 由 DeleteSecret 操作生成。有关删除密钥的信息，请参阅删除 Amazon Secrets Manager 密钥。
DescribeSecret: 由 DescribeSecret 操作生成。
EndSecretVersionDelete: 在删除密钥版本时生成。有关更多信息，请参阅删除 Amazon Secrets Manager 密钥。
GetRandomPassword: 由 GetRandomPassword 操作生成。
GetResourcePolicy: 由 GetResourcePolicy 操作生成。有关权限的信息，请参阅 Amazon Secrets Manager 的身份验证和访问控制。
GetSecretValue: 由 GetSecretValue 操作生成。有关检索密钥的信息，请参阅从 Amazon Secrets Manager 中检索密钥。
ListSecrets: 由 ListSecrets 操作生成。有关列出密钥的信息，请参阅在 Amazon Secrets Manager 中查找密钥。
ListSecretVersionIds: 由 ListSecretVersionIds 操作生成。
PutResourcePolicy: 由 PutResourcePolicy 操作生成。有关权限的信息，请参阅 Amazon Secrets Manager 的身份验证和访问控制。
PutSecretValue: 由 PutSecretValue 操作生成。有关更新密钥的信息，请参阅修改 Amazon Secrets Manager 密钥。
RemoveRegionsFromReplication: 由 RemoveRegionsFromReplication 操作生成。有关复制密钥的更多信息，请参阅将 Amazon Secrets Manager 密钥复制到其他 Amazon Web Services 区域。
ReplicateSecretToRegions: 由 ReplicateSecretToRegions 操作生成。有关复制密钥的更多信息，请参阅将 Amazon Secrets Manager 密钥复制到其他 Amazon Web Services 区域。
RestoreSecret: 由 RestoreSecret 操作生成。有关还原已删除密钥的信息，请参阅恢复 Amazon Secrets Manager 密钥。
RotateSecret: 由 RotateSecret 操作生成。有关轮换的更多信息，请参阅轮换 Amazon Secrets Manager 密钥。
RotationStarted: 在 Secrets Manager 开始轮换密钥时生成。有关轮换的更多信息，请参阅轮换 Amazon Secrets Manager 密钥。
RotationAbandoned: 在 Secrets Manager 放弃轮换尝试并从密钥的某个现有版本移除 AWSPENDING 标注时生成。当您在轮换期间创建密钥的新版本时，Secrets Manager 会放弃轮换。有关轮换的更多信息，请参阅轮换 Amazon Secrets Manager 密钥。
RotationFailed: 在轮换失败时生成。有关轮换的更多信息，请参阅 Amazon Secrets Manager 轮换问题排查。
RotationSucceeded: 在密钥轮换成功时生成。有关轮换的更多信息，请参阅轮换 Amazon Secrets Manager 密钥。
StartSecretVersionDelete: 在 Secrets Manager 开始删除密钥版本时生成。有关删除密钥的信息，请参阅删除 Amazon Secrets Manager 密钥。
StopReplicationToReplica: 由 StopReplicationToReplica 操作生成。有关复制密钥的更多信息，请参阅将 Amazon Secrets Manager 密钥复制到其他 Amazon Web Services 区域。
TagResource: 由 TagResource 操作生成。有关标记密钥的信息，请参阅标记 Amazon Secrets Manager 密钥。
TestRotationStarted: 在 Secrets Manager 开始测试轮换某个尚未计划立即轮换的密钥时生成。有关轮换的更多信息，请参阅轮换 Amazon Secrets Manager 密钥。
TestRotationSucceeded: 在 Secrets Manager 测试轮换某个尚未计划立即轮换的密钥并且结果成功时生成。有关轮换的更多信息，请参阅轮换 Amazon Secrets Manager 密钥。
TestRotationFailed: 在 Secrets Manager 测试轮换某个尚未计划立即轮换的密钥但结果失败时生成。有关轮换的更多信息，请参阅 Amazon Secrets Manager 轮换问题排查。
UntagResource: 由 UntagResource 操作生成。有关取消密钥标签的信息，请参阅标记 Amazon Secrets Manager 密钥。
UpdateSecret: 由 UpdateSecret 操作生成。有关更新密钥的信息，请参阅修改 Amazon Secrets Manager 密钥。
UpdateSecretVersionStage: 由 UpdateSecretVersionStage 操作生成。有关版本阶段的更多信息，请参阅版本。
ValidateResourcePolicy: 由 ValidateResourcePolicy 操作生成。有关权限的信息，请参阅 Amazon Secrets Manager 的身份验证和访问控制。

示例日志条目


{
    "eventVersion": "1.08",
    "userIdentity": {
        "accountId": "123456789012",
        "invokedBy": "secretsmanager.amazonaws.com"
    },
    "eventTime": "2022-09-13T02:17:48Z",
    "eventSource": "secretsmanager.amazonaws.com",
    "eventName": "RotationFailed",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "secretsmanager.amazonaws.com",
    "userAgent": "secretsmanager.amazonaws.com",
    "errorMessage": "Error when executing lambda arn:aws:lambda:us-east-2:123456789012:function:SecretsManagertest-alternating-users-rotation2 during setSecret step",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "SecretId": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MyDatabaseSecret-a1b2c3"
    },
    "requestID": "Rotation-arn:aws:secretsmanager:us-east-2:123456789012:secret:MyDatabaseSecret-a1b2c3-eeb681b1-a07d-4aeb-9b61-1ee6590ec295",
    "eventID": "EXAMPLE3-90ab-cdef-fedc-ba987EXAMPLE",
    "readOnly": false,
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

监控密钥

使用 CloudWatch 进行监控