使用 Amazon CloudTrail 记录 Amazon Secrets Manager 事件 - Amazon Secrets Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 Amazon CloudTrail 记录 Amazon Secrets Manager 事件

Amazon CloudTrail 会将所有对 Secrets Manager 的 API 调用记录为事件,包括从 Secrets Manager 控制台发起的调用,以及有关轮换和密钥版本删除的多个其他事件。

您可以使用 CloudTrail 控制台查看过去 90 天内记录的事件。要持续记录 Amazon 账户中的事件(包括 Secrets Manager 事件),您可以创建跟踪记录,以便 CloudTrail 将日志文件传输到 Amazon S3 存储桶。请参阅为您的 Amazon 账户创建跟踪记录。您还可以配置 CloudTrail 以接收来自多个 Amazon Web Services 账户Amazon Web Services 区域的 CloudTrail 日志文件。

您可以配置其他 Amazon 服务,进一步分析在 CloudTrail 日志中收集的数据并采取措施。请参阅 Amazon 服务与 CloudTrail 日志集成。在 CloudTrail 将新的日志文件发布到您的 Amazon S3 存储桶时,您还可以收到通知。请参阅为 CloudTrail 配置 Amazon SNS 通知

从 CloudTrail 日志中检索 Secrets Manager 事件(控制台)
  1. 访问 https://console.aws.amazon.com/cloudtrail/,打开 CloudTrail 控制台。

  2. 确保控制台指向发生事件的区域。控制台仅显示在所选区域中发生的那些事件。从控制台右上角的下拉列表中选择区域。

  3. 在左侧导航窗格中,选择 Event history (事件历史记录)

  4. 选择 Filter (筛选) 条件和/或 Time range (时间范围) 以帮助您查找您在寻找的事件。例如,要查看所有 Secrets Manager 事件,对于 Select attribute (选择属性),选择 Event source (事件源)。然后,对于 Enter event source (输入事件源),选择 secretsmanager.amazonaws.com

  5. 要查看更多详细信息,请选择事件旁边的展开箭头。要查看所有可用信息,请选择 View event (查看事件)

Amazon CLI

例 从 CloudTrail 日志检索 Secrets Manager 事件

以下 lookup-events 示例将查找 Secrets Manager 事件。

aws cloudtrail lookup-events \ --region us-east-1 \ --lookup-attributes AttributeKey=EventSource,AttributeValue=secretsmanager.amazonaws.com

Secrets Manager 日志条目

CancelRotateSecret

CancelRotateSecret 操作生成。有关轮换的更多信息,请参阅 轮换 Amazon Secrets Manager 密钥

CancelSecretVersionDelete

如果在具有版本的密钥上调用 DeleteSecret,然后再调用 RestoreSecret,则 Secrets Manager 会为还原的每个密钥版本记录此事件。有关还原已删除密钥的信息,请参阅 恢复 Amazon Secrets Manager 密钥

CreateSecret

CreateSecret 操作生成。有关创建密钥的信息,请参阅 用 Amazon Secrets Manager 创建和管理密钥

DeleteResourcePolicy

DeleteResourcePolicy 操作生成。有关权限的信息,请参阅 Amazon Secrets Manager 的身份验证和访问控制

DeleteSecret

DeleteSecret 操作生成。有关删除密钥的信息,请参阅 删除 Amazon Secrets Manager 密钥

DescribeSecret

DescribeSecret 操作生成。

EndSecretVersionDelete

在删除密钥版本时生成。有关更多信息,请参阅删除 Amazon Secrets Manager 密钥

GetRandomPassword

GetRandomPassword 操作生成。

GetResourcePolicy

GetResourcePolicy 操作生成。有关权限的信息,请参阅 Amazon Secrets Manager 的身份验证和访问控制

GetSecretValue

GetSecretValue 操作生成。有关检索密钥的信息,请参阅 从 Amazon Secrets Manager 中检索密钥

ListSecrets

ListSecrets 操作生成。有关列出密钥的信息,请参阅 在 Amazon Secrets Manager 中查找密钥

ListSecretVersionIds

ListSecretVersionIds 操作生成。

PutResourcePolicy

PutResourcePolicy 操作生成。有关权限的信息,请参阅 Amazon Secrets Manager 的身份验证和访问控制

PutSecretValue

PutSecretValue 操作生成。有关更新密钥的信息,请参阅 修改 Amazon Secrets Manager 密钥

RemoveRegionsFromReplication

RemoveRegionsFromReplication 操作生成。有关复制密钥的更多信息,请参阅 将 Amazon Secrets Manager 密钥复制到其他 Amazon Web Services 区域

ReplicateSecretToRegions

ReplicateSecretToRegions 操作生成。有关复制密钥的更多信息,请参阅 将 Amazon Secrets Manager 密钥复制到其他 Amazon Web Services 区域

RestoreSecret

RestoreSecret 操作生成。有关还原已删除密钥的信息,请参阅 恢复 Amazon Secrets Manager 密钥

RotateSecret

RotateSecret 操作生成。有关轮换的更多信息,请参阅 轮换 Amazon Secrets Manager 密钥

RotationStarted

在 Secrets Manager 开始轮换密钥时生成。有关轮换的更多信息,请参阅 轮换 Amazon Secrets Manager 密钥

RotationAbandoned

在 Secrets Manager 放弃轮换尝试并从密钥的某个现有版本移除 AWSPENDING 标注时生成。当您在轮换期间创建密钥的新版本时,Secrets Manager 会放弃轮换。有关轮换的更多信息,请参阅 轮换 Amazon Secrets Manager 密钥

RotationFailed

在轮换失败时生成。有关轮换的更多信息,请参阅 Amazon Secrets Manager 轮换问题排查

RotationSucceeded

在密钥轮换成功时生成。有关轮换的更多信息,请参阅 轮换 Amazon Secrets Manager 密钥

StartSecretVersionDelete

在 Secrets Manager 开始删除密钥版本时生成。有关删除密钥的信息,请参阅 删除 Amazon Secrets Manager 密钥

StopReplicationToReplica

StopReplicationToReplica 操作生成。有关复制密钥的更多信息,请参阅 将 Amazon Secrets Manager 密钥复制到其他 Amazon Web Services 区域

TagResource

TagResource 操作生成。有关标记密钥的信息,请参阅 标记 Amazon Secrets Manager 密钥

TestRotationStarted

在 Secrets Manager 开始测试轮换某个尚未计划立即轮换的密钥时生成。有关轮换的更多信息,请参阅 轮换 Amazon Secrets Manager 密钥

TestRotationSucceeded

在 Secrets Manager 测试轮换某个尚未计划立即轮换的密钥并且结果成功时生成。有关轮换的更多信息,请参阅 轮换 Amazon Secrets Manager 密钥

TestRotationFailed

在 Secrets Manager 测试轮换某个尚未计划立即轮换的密钥但结果失败时生成。有关轮换的更多信息,请参阅 Amazon Secrets Manager 轮换问题排查

UntagResource

UntagResource 操作生成。有关取消密钥标签的信息,请参阅 标记 Amazon Secrets Manager 密钥

UpdateSecret

UpdateSecret 操作生成。有关更新密钥的信息,请参阅 修改 Amazon Secrets Manager 密钥

UpdateSecretVersionStage

UpdateSecretVersionStage 操作生成。有关版本阶段的更多信息,请参阅 版本

ValidateResourcePolicy

ValidateResourcePolicy 操作生成。有关权限的信息,请参阅 Amazon Secrets Manager 的身份验证和访问控制

示例日志条目

{ "eventVersion": "1.08", "userIdentity": { "accountId": "123456789012", "invokedBy": "secretsmanager.amazonaws.com" }, "eventTime": "2022-09-13T02:17:48Z", "eventSource": "secretsmanager.amazonaws.com", "eventName": "RotationFailed", "awsRegion": "us-east-2", "sourceIPAddress": "secretsmanager.amazonaws.com", "userAgent": "secretsmanager.amazonaws.com", "errorMessage": "Error when executing lambda arn:aws:lambda:us-east-2:123456789012:function:SecretsManagertest-alternating-users-rotation2 during setSecret step", "requestParameters": null, "responseElements": null, "additionalEventData": { "SecretId": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MyDatabaseSecret-a1b2c3" }, "requestID": "Rotation-arn:aws:secretsmanager:us-east-2:123456789012:secret:MyDatabaseSecret-a1b2c3-eeb681b1-a07d-4aeb-9b61-1ee6590ec295", "eventID": "EXAMPLE3-90ab-cdef-fedc-ba987EXAMPLE", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management" }