Supervisión de secretos de AWS Secrets Manager para la conformidad mediante AWS Config
Puede utilizar AWS Config para evaluar sus secretos y comprobar si cumplen con sus normas. Puede definir los requisitos internos de seguridad y cumplimiento para los secretos mediante reglas de AWS Config. Luego, AWS Config puede identificar los secretos que no se ajusten a las reglas. También puede realizar un seguimiento de los cambios de los metadatos de los secretos, la configuración de rotación, la clave KMS utilizada para cifrar el secreto, la función de rotación de Lambda y las etiquetas asociadas a un secreto.
Puede configurar AWS Config para que le notifique los cambios. Para obtener más información, consulte Notificaciones que AWS Config envía a un tema de Amazon SNS.
Si tiene secretos en varias Cuentas de AWS y Regiones de AWS en la organización, puede agregar esos datos de configuración y cumplimiento. Para obtener más información, consulte Acumulación de datos de varias cuentas y regiones.
Evaluar la conformidad de los secretos
-
Siga las instrucciones que aparecen en Evaluar los recursos con reglas de AWS Config y, a continuación, elija una de las siguientes reglas:
-
secretsmanager-secret-unused: verifica si se accedió a los secretos dentro de la cantidad de días especificada. -
secretsmanager-using-cmk: verifica si los secretos se cifran mediante Clave administrada de AWSaws/secretsmanagero una clave administrada por el cliente que creó en AWS KMS. -
secretsmanager-rotation-enabled-check: verifica si se ha configurado la rotación para los secretos almacenados en Secrets Manager. -
secretsmanager-scheduled-rotation-success-check: verifica si la última rotación correcta se encuentra dentro de la frecuencia de rotación configurada. La frecuencia mínima para la verificación es diariamente. -
secretsmanager-secret-periodic-rotation: verifica si los secretos se rotaron dentro de la cantidad de días especificada.
-
