Configuración AWS Secrets Manager y permisos - Servicio administrado por Amazon para Prometheus

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración AWS Secrets Manager y permisos

Antes de poder enviar alertas a PagerDuty, debe almacenar de forma segura PagerDuty la clave de integración y configurar los permisos necesarios. Este proceso implica crear un código secreto AWS Secrets Manager, cifrarlo con una clave gestionada por el cliente AWS Key Management Service (AWS KMS) y conceder a Amazon Managed Service for Prometheus los permisos necesarios para acceder tanto al secreto como a su clave de cifrado. Los siguientes procedimientos le guiarán en cada paso de este proceso de configuración.

Para crear un secreto en Secrets Manager para PagerDuty

Para PagerDuty utilizarla como receptor de alertas, debe almacenar su clave de PagerDuty integración en Secrets Manager. Siga estos pasos:

  1. Abra la consola de Secrets Manager.

  2. Elija Almacenar un secreto nuevo.

  3. En Secret type (Tipo de secreto), elija Other type of secret (Otro tipo de secreto).

  4. Para los pares clave/valor, introduzca su clave de PagerDuty integración como valor secreto. Se trata de la clave de enrutamiento o la clave de servicio de su PagerDuty integración.

  5. Elija Siguiente.

  6. Introduce un nombre y una descripción para tu secreto y, a continuación, selecciona Siguiente.

  7. Configure los ajustes de rotación si lo desea y, a continuación, seleccione Siguiente.

  8. Revisa la configuración y selecciona Tienda.

  9. Después de crear el secreto, anote su ARN. Lo necesitará al configurar el administrador de alertas.

Para cifrar tu secreto con una clave gestionada por el cliente AWS KMS

Debes conceder permiso a Amazon Managed Service for Prometheus para acceder a tu secreto y a su clave de cifrado:

  1. Política de recursos secretos: abre tu secreto en la consola de Secrets Manager.

    1. Selecciona Permisos de recursos.

    2. Elija Editar permisos.

    3. Añada la siguiente declaración de política. En la declaración, sustituya el highlighted values valor por sus valores específicos.

      {
  "Effect": "Allow",
  "Principal": {
    "Service": "aps.amazonaws.com"
  },
  "Action": "secretsmanager:GetSecretValue",
  "Resource": "*",
  "Condition": {
    "ArnEquals": {
      "aws:SourceArn": "arn:aws:aps:aws-region:123456789012:workspace/WORKSPACE_ID"
    },
    "StringEquals": {
      "aws:SourceAccount": "123456789012"
    }
  }
}

    4. Seleccione Save.

  2. Política de claves de KMS: abra la AWS KMS clave en la AWS KMS consola.

    1. Elija Política clave.

    2. Seleccione Editar.

    3. Añada la siguiente declaración de política. En la declaración, sustituya el highlighted values valor por sus valores específicos.

      {
  "Effect": "Allow",
  "Principal": {
    "Service": "aps.amazonaws.com"
  },
  "Action": "kms:Decrypt",
  "Resource": "*",
  "Condition": {
    "ArnEquals": {
      "aws:SourceArn": "arn:aws:aps:aws-region:123456789012:workspace/WORKSPACE_ID"
    },
    "StringEquals": {
      "aws:SourceAccount": "123456789012"
    }
  }
}

    4. Seleccione Save.

Próximos pasos: continúe con el tema siguiente,Configure el administrador de alertas para enviar alertas a PagerDuty.