使用 Amazon CloudTrail 记录 Amazon Secrets Manager 事件 - Amazon Secrets Manager
Amazon CLI 或开发工具包Secrets Manager 日志条目示例
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用 Amazon CloudTrail 记录 Amazon Secrets Manager 事件

Amazon CloudTrail 会将 Secrets Manager 的所有 API 调用记录为事件,包括从 Secrets Manager 控制台发出的调用。CloudTrail 还捕获以下事件:

  • RotationAbandoned 事件 - Secrets Manager 已从现有密钥版本中删除 AWSPENDING 标注。手动创建密钥的新版本时,您会发送一条消息,指示放弃当前正在进行的轮换,以支持新密钥版本。因此,Secrets Manager 会删除 AWSPENDING 标签以允许将来的轮换成功,并发布 CloudTrail 事件以让您意识到发生更改。

  • RotationStarted 事件 - 密钥开始轮换。

  • RotationSucceeded 事件 - 密钥轮换成功。

  • RotationFailed 事件 - 密钥轮换失败。

  • StartSecretVersionDelete 事件 - 一种通知您密钥版本开始删除的机制。

  • CancelSecretVersionDelete 事件 - 取消密钥版本删除。

  • EndSecretVersionDelete 事件 - 终止密钥版本删除。

您可以使用 CloudTrail 控制台查看过去 90 天内记录的事件。要持续记录 Amazon 账户中的事件(包括 Secrets Manager 事件),您可以创建跟踪记录,以便 CloudTrail 将日志文件传输到 Amazon S3 存储桶。请参阅为您的 Amazon 账户创建跟踪记录。您还可以配置 CloudTrail 以接收来自多个 Amazon Web Services 账户Amazon Web Services 区域的 CloudTrail 日志文件。

您可以配置其他 Amazon 服务,进一步分析在 CloudTrail 日志中收集的数据并采取措施。请参阅 Amazon 服务与 CloudTrail 日志集成。在 CloudTrail 将新的日志文件发布到您的 Amazon S3 存储桶时,您还可以收到通知。请参阅为 CloudTrail 配置 Amazon SNS 通知

从 CloudTrail 日志中检索 Secrets Manager 事件(控制台)

  1. 访问 https://console.aws.amazon.com/cloudtrail/,打开 CloudTrail 控制台。

  2. 确保控制台指向发生事件的区域。控制台仅显示在所选区域中发生的那些事件。从控制台右上角的下拉列表中选择区域。

  3. 在左侧导航窗格中,选择 Event history (事件历史记录)

  4. 选择 Filter (筛选) 条件和/或 Time range (时间范围) 以帮助您查找您在寻找的事件。例如,要查看所有 Secrets Manager 事件,对于 Select attribute (选择属性),选择 Event source (事件源)。然后,对于 Enter event source (输入事件源),选择 secretsmanager.amazonaws.com

  5. 要查看更多详细信息,请选择事件旁边的展开箭头。要查看所有可用信息,请选择 View event (查看事件)

Amazon CLI 或开发工具包

从 CloudTrail 日志中检索 Secrets Manager 事件(Amazon CLI 或开发工具包)

  1. 打开命令窗口以运行 Amazon CLI 命令。

  2. 运行类似于下面示例的命令。

    $ aws cloudtrail lookup-events --region us-east-1 --lookup-attributes AttributeKey=EventSource,AttributeValue=secretsmanager.amazonaws.com
{
    "Events": [
        {
            "EventId": "EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE",
            "EventName": "CreateSecret",
            "EventTime": 1525106994.0,
            "Username": "Administrator",
            "Resources": [],
            "CloudTrailEvent": "{\"eventVersion\":\"1.05\",\"userIdentity\":{\"type\":\"IAMUser\",\"principalId\":\"AKIAIOSFODNN7EXAMPLE\",
                  \"arn\":\"arn:aws:iam::123456789012:user/Administrator\",\"accountId\":\"123456789012\",\"accessKeyId\":\"AKIAIOSFODNN7EXAMPLE\",
                  \"userName\":\"Administrator\"},\"eventTime\":\"2018-04-30T16:49:54Z\",\"eventSource\":\"secretsmanager.amazonaws.com\",
                  \"eventName\":\"CreateSecret\",\"awsRegion\":\"us-east-2\",\"sourceIPAddress\":\"192.168.100.101\",
                  \"userAgent\":\"<useragent string>\",\"requestParameters\":{\"name\":\"MyTestSecret\",
                  \"clientRequestToken\":\"EXAMPLE2-90ab-cdef-fedc-ba987EXAMPLE\"},\"responseElements\":null,
                  \"requestID\":\"EXAMPLE3-90ab-cdef-fedc-ba987EXAMPLE\",\"eventID\":\"EXAMPLE4-90ab-cdef-fedc-ba987EXAMPLE\",
                  \"eventType\":\"AwsApiCall\",\"recipientAccountId\":\"123456789012\"}"
        }
    ]
}

Secrets Manager 日志条目示例

以下示例演示示例 CreateSecret 调用的一个 CloudTrail 日志条目。

  {
    "eventVersion": "1.05",
    "userIdentity": {
      "type": "Root",
      "principalId": "123456789012",
      "arn": "arn:aws:iam::123456789012:root",
      "accountId": "123456789012",
      "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
      "userName": "myusername",
      "sessionContext": {"attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2018-04-03T17:43:50Z"
      }}
    },
    "eventTime": "2018-04-03T17:50:55Z",
    "eventSource": "secretsmanager.amazonaws.com",
    "eventName": "CreateSecret",
    "awsRegion": "us-east-2",
    "requestParameters": {
      "name": "MyDatabaseSecret",
      "clientRequestToken": "EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE"
    },
    "responseElements": null,
    "requestID": "EXAMPLE2-90ab-cdef-fedc-ba987EXAMPLE",
    "eventID": "EXAMPLE3-90ab-cdef-fedc-ba987EXAMPLE",
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789012"
}

以下示例演示示例 DeleteSecret 调用的一个 CloudTrail 日志条目。

{
    "eventVersion": "1.05",
    "userIdentity": {
      "type": "Root",
      "principalId": "123456789012",
      "arn": "arn:aws:iam::123456789012:root",
      "accountId": "123456789012",
      "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
      "userName": "myusername",
      "sessionContext": {"attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2018-04-03T17:43:50Z"
      }}
    },
    "eventTime": "2018-04-03T17:51:02Z",
    "eventSource": "secretsmanager.amazonaws.com",
    "eventName": "DeleteSecret",
    "awsRegion": "us-east-2",
    "requestParameters": {
      "recoveryWindowInDays": 30,
      "secretId": "MyDatabaseSecret"
    },
    "responseElements": {
      "name": "MyDatabaseSecret",
      "deletionDate": "May 3, 2018 5:51:02 PM",
      "aRN": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MyDatabaseSecret-a1b2c3"
    },
    "requestID": "EXAMPLE2-90ab-cdef-fedc-ba987EXAMPLE",
    "eventID": "EXAMPLE3-90ab-cdef-fedc-ba987EXAMPLE",
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789012"
}