Configuración AWS Secrets Manager y permisos - Servicio administrado por Amazon para Prometheus

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración AWS Secrets Manager y permisos

Antes de poder enviar alertas a PagerDuty, debe almacenar de forma segura PagerDuty la clave de integración y configurar los permisos necesarios. Este proceso implica crear un código secreto AWS Secrets Manager, cifrarlo con una clave gestionada por el cliente AWS Key Management Service(AWS KMS) y conceder a Amazon Managed Service for Prometheus los permisos necesarios para acceder tanto al secreto como a su clave de cifrado. Los siguientes procedimientos le guiarán en cada paso de este proceso de configuración.

Para crear un secreto en Secrets Manager para PagerDuty

Para PagerDuty utilizarla como receptor de alertas, debe almacenar su clave de PagerDuty integración en Secrets Manager. Siga estos pasos:

  1. Abra la consola de Secrets Manager.

  2. Elija Almacenar un secreto nuevo.

  3. En Secret type (Tipo de secreto), elija Other type of secret (Otro tipo de secreto).

  4. Para los pares clave/valor, introduzca su clave de PagerDuty integración como valor secreto. Se trata de la clave de enrutamiento o la clave de servicio de su PagerDuty integración.

  5. Elija Siguiente.

  6. Ingrese un nombre y una descripción para su secreto y, a continuación, elija Siguiente.

  7. Configure los ajustes de rotación si lo desea y, a continuación, seleccione Siguiente.

  8. Revise la configuración y seleccione Almacenar.

  9. Después de crear el secreto, anote su ARN. Lo necesitará al configurar el administrador de alertas.

Para cifrar tu secreto con una clave gestionada por el cliente AWS KMS

Debe conceder permiso a Amazon Managed Service para Prometheus para acceder a su secreto y a su clave de cifrado:

  1. Política de recursos secretos: abra su secreto en la consola de Secrets Manager.

    1. Elija Permisos de recursos.

    2. Elija Editar permisos.

    3. Agregue la siguiente instrucción de política. En la declaración, sustituya el valor por sus highlighted values valores específicos.

      {
  "Effect": "Allow",
  "Principal": {
    "Service": "aps.amazonaws.com"
  },
  "Action": "secretsmanager:GetSecretValue",
  "Resource": "*",
  "Condition": {
    "ArnEquals": {
      "aws:SourceArn": "arn:aws:aps:aws-region:123456789012:workspace/WORKSPACE_ID"
    },
    "StringEquals": {
      "aws:SourceAccount": "123456789012"
    }
  }
}

    4. Seleccione Save.

  2. Política de claves de KMS: abra la AWS KMS clave en la AWS KMS consola.

    1. Elija Política de claves.

    2. Elija Edit (Edición de).

    3. Agregue la siguiente instrucción de política. En la declaración, sustituya el highlighted values valor por sus valores específicos.

      {
  "Effect": "Allow",
  "Principal": {
    "Service": "aps.amazonaws.com"
  },
  "Action": "kms:Decrypt",
  "Resource": "*",
  "Condition": {
    "ArnEquals": {
      "aws:SourceArn": "arn:aws:aps:aws-region:123456789012:workspace/WORKSPACE_ID"
    },
    "StringEquals": {
      "aws:SourceAccount": "123456789012"
    }
  }
}

    4. Seleccione Save.

Pasos siguientes: continúe con el tema siguiente, Configure el administrador de alertas para enviar alertas a PagerDuty.