Configuration AWS Secrets Manager et autorisations - Amazon Managed Service for Prometheus

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration AWS Secrets Manager et autorisations

Avant de pouvoir envoyer des alertes à PagerDuty, vous devez stocker en toute sécurité votre clé PagerDuty d'intégration et configurer les autorisations nécessaires. Ce processus implique de créer un secret AWS Secrets Manager, de le chiffrer avec une clé gérée par le client AWS Key Management Service (AWS KMS) et d'accorder à Amazon Managed Service for Prometheus les autorisations requises pour accéder à la fois au secret et à sa clé de chiffrement. Les procédures suivantes vous guident à chaque étape de ce processus de configuration.

Pour créer un secret dans Secrets Manager pour PagerDuty

Pour l'utiliser PagerDuty comme récepteur d'alertes, vous devez enregistrer votre clé PagerDuty d'intégration dans Secrets Manager. Procédez comme suit :

  1. Ouvrez la console Secrets Manager.

  2. Choisissez Store a new secret (Stocker un nouveau secret).

  3. Pour Secret type (Type de secret), choisissez Other type of secret (Autre type de secret).

  4. Pour les paires clé/valeur, entrez votre clé PagerDuty d'intégration comme valeur secrète. Il s'agit de la clé de routage ou de la clé de service de votre PagerDuty intégration.

  5. Choisissez Suivant.

  6. Entrez le nom et la description de votre secret, puis choisissez Next.

  7. Configurez les paramètres de rotation si vous le souhaitez, puis choisissez Next.

  8. Vérifiez vos paramètres et choisissez Store.

  9. Après avoir créé le secret, notez son ARN. Vous en aurez besoin pour configurer le gestionnaire d'alertes.

Pour chiffrer votre secret à l'aide d'une clé gérée par le client AWS KMS

Vous devez autoriser Amazon Managed Service for Prometheus à accéder à votre secret et à sa clé de chiffrement :

  1. Politique relative aux ressources secrètes : ouvrez votre secret dans la console Secrets Manager.

    1. Choisissez Autorisations relatives aux ressources.

    2. Choisissez Modifier les autorisations.

    3. Ajoutez la déclaration de politique suivante. Dans la déclaration, remplacez le highlighted values par vos valeurs spécifiques.

      {
  "Effect": "Allow",
  "Principal": {
    "Service": "aps.amazonaws.com"
  },
  "Action": "secretsmanager:GetSecretValue",
  "Resource": "*",
  "Condition": {
    "ArnEquals": {
      "aws:SourceArn": "arn:aws:aps:aws-region:123456789012:workspace/WORKSPACE_ID"
    },
    "StringEquals": {
      "aws:SourceAccount": "123456789012"
    }
  }
}

    4. Choisissez Enregistrer.

  2. Politique relative aux clés KMS : ouvrez votre AWS KMS clé dans la AWS KMS console.

    1. Choisissez Key policy.

    2. Choisissez Modifier.

    3. Ajoutez la déclaration de politique suivante. Dans la déclaration, remplacez le highlighted values par vos valeurs spécifiques.

      {
  "Effect": "Allow",
  "Principal": {
    "Service": "aps.amazonaws.com"
  },
  "Action": "kms:Decrypt",
  "Resource": "*",
  "Condition": {
    "ArnEquals": {
      "aws:SourceArn": "arn:aws:aps:aws-region:123456789012:workspace/WORKSPACE_ID"
    },
    "StringEquals": {
      "aws:SourceAccount": "123456789012"
    }
  }
}

    4. Choisissez Enregistrer.

Prochaines étapes — Passez à la rubrique suivante,Configurer le gestionnaire d'alertes pour envoyer des alertes à PagerDuty.