Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Surveillez AWS Secrets Manager les secrets
AWS fournit des outils de surveillance permettant de surveiller les secrets de Secrets Manager, de signaler tout problème et de prendre des mesures automatiques le cas échéant. Vous pouvez utiliser les journaux pour examiner tout utilisation ou changement inattendu, et ensuite annuler les modifications non désirées. Vous pouvez aussi définir des contrôles automatisés pour une utilisation inappropriée des secrets et pour toute tentative de suppression de ces derniers.
**Topics**
+ [Connectez-vous avec AWS CloudTrail](monitoring-cloudtrail.md)
+ [Moniteur avec CloudWatch](monitoring-cloudwatch.md)
+ [Associez les événements de Secrets Manager à EventBridge](monitoring-eventbridge.md)
+ [Surveillance des secrets planifiés pour une suppression](monitoring_cloudwatch_deleted-secrets.md)
+ [Surveillez les secrets à des fins de conformité](configuring-awsconfig-rules.md)
+ [Surveillez les coûts de Secrets Manager](monitor-secretsmanager-costs.md)
+ [Détectez les menaces avec GuardDuty](monitoring-guardduty.md)
# Enregistrez AWS Secrets Manager les événements avec AWS CloudTrail
AWS CloudTrail enregistre tous les appels d'API pour Secrets Manager sous forme d'événements, y compris les appels depuis la console Secrets Manager, ainsi que plusieurs autres événements relatifs à la rotation et à la suppression de versions secrètes. Pour obtenir la liste des entrées du journal dans les enregistrements de Secrets Manager, consultez[CloudTrail entrées](cloudtrail_log_entries.md).
Vous pouvez utiliser la CloudTrail console pour consulter les événements enregistrés au cours des 90 derniers jours. Pour un enregistrement continu des événements de votre AWS compte, y compris des événements relatifs à Secrets Manager, créez un journal qui CloudTrail transmettra les fichiers journaux à un compartiment Amazon S3. Consultez [la section Création d'un historique pour votre AWS compte](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html). Vous pouvez également configurer CloudTrail pour recevoir des fichiers CloudTrail journaux provenant de [plusieurs Comptes AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) et [Régions AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html).
Vous pouvez configurer d'autres AWS services pour analyser plus en détail les données collectées dans les CloudTrail journaux et agir en conséquence. Découvrez les [intégrations de AWS services avec les CloudTrail journaux](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations). Vous pouvez également recevoir des notifications lorsque vous CloudTrail publiez de nouveaux fichiers journaux dans votre compartiment Amazon S3. Consultez [Configuration des notifications Amazon SNS pour](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html). CloudTrail
**Pour récupérer les événements de Secrets Manager à partir CloudTrail des journaux (console)**
1. Ouvrez la CloudTrail console à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Assurez-vous que la console pointe vers la région où vos événements se sont produits. La console affiche uniquement les événements survenus dans la région sélectionnée. Choisissez la région dans la liste déroulante située dans le coin supérieur droit de la console.
1. Dans le volet de navigation de gauche, sélectionnez **Event history (Historique des événements)**.
1. Choisissez les critères de **filtrage** et and/or une **plage de temps** pour vous aider à trouver l'événement que vous recherchez. Par exemple :
1. Pour voir tous les événements de Secrets Manager, pour les **attributs de recherche**, sélectionnez **Source de l'événement**. Ensuite, pour **Enter event source** (Entrer source d'événement), sélectionnez **secretsmanager.amazonaws.com**.
1. Pour voir tous les événements liés à un secret, dans la zone **Attributs de recherche**, sélectionnez **Nom de la ressource**. Ensuite, pour **Entrez un nom de ressource**, entrez le nom du secret.
1. Pour plus de détails, cliquez sur la flèche d'extension située à côté de l'événement. Pour voir toutes les informations disponibles, sélectionnez **View event** (Afficher l'événement).
## AWS CLI
**Example Récupérer les événements de Secrets Manager à partir CloudTrail des journaux**
L'exemple suivant [https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html) recherche les événements de Secrets Manager.
```
aws cloudtrail lookup-events \
--region us-east-1 \
--lookup-attributes AttributeKey=EventSource,AttributeValue=secretsmanager.amazonaws.com
```
# AWS CloudTrail entrées pour Secrets Manager
AWS Secrets Manager écrit des entrées dans votre AWS CloudTrail journal pour toutes les opérations de Secrets Manager et pour les autres événements liés à la rotation et à la suppression. Pour plus d'informations sur les mesures à prendre face à ces événements, consultez [Associez les événements de Secrets Manager à EventBridge](monitoring-eventbridge.md).
**Topics**
+ [Entrées de journal pour les opérations Secrets Manager](#cloudtrail_log_entries_operations)
+ [Entrées du journal marquées pour suppression](#cloudtrail_log_entries_deletion)
+ [Entrées de journal pour la réplication](#cloudtrail_log_entries_replication)
+ [Entrées du journal pour la rotation](#cloudtrail_log_entries_rotation)
## Entrées de journal pour les opérations Secrets Manager
Les événements générés par des appels aux opérations de Secrets Manager ont `"detail-type": ["AWS API Call via CloudTrail"]`.
**Note**
Avant février 2024, certaines opérations de Secrets Manager signalaient des événements contenant « ARn » au lieu de arn « » pour l'ARN secret. Pour obtenir plus d'informations, consultez [re:Post AWS](https://repost.aws/knowledge-center/secrets-manager-arn).
Les CloudTrail entrées suivantes sont générées lorsque vous ou un service appelez les opérations de Secrets Manager via l'API, le SDK ou la CLI.
**BatchGetSecretValue**
Généré par l'[BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html)opération. Pour plus d'informations sur la récupération de secrets, veuillez consulter [Obtenez des secrets auprès de AWS Secrets Manager](retrieving-secrets.md).
**CancelRotateSecret**
Généré par l'[CancelRotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CancelRotateSecret.html)opération. Pour plus d'informations sur la rotation, veuillez consulter [Faire pivoter AWS Secrets Manager les secrets](rotating-secrets.md).
**CreateSecret**
Généré par l'[CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)opération. Pour plus d'informations sur la création de secrets, veuillez consulter [Gérez les secrets avec AWS Secrets Manager](managing-secrets.md).
**DeleteResourcePolicy**
Généré par l'[DeleteResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteResourcePolicy.html)opération. Pour plus d'informations sur les autorisations, veuillez consulter [Authentification et contrôle d'accès pour AWS Secrets Manager](auth-and-access.md).
**DeleteSecret**
Généré par l'[DeleteSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteSecret.html)opération. Pour plus d'informations sur la suppression de secrets, veuillez consulter [Supprimer un AWS Secrets Manager secret](manage_delete-secret.md).
**DescribeSecret**
Généré par l'[DescribeSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html)opération.
**GetRandomPassword**
Généré par l'[GetRandomPassword](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetRandomPassword.html)opération.
**GetResourcePolicy**
Généré par l'[GetResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html)opération. Pour plus d'informations sur les autorisations, veuillez consulter [Authentification et contrôle d'accès pour AWS Secrets Manager](auth-and-access.md).
**GetSecretValue**
Généré par les [BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html)opérations [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html)et. Pour plus d'informations sur la récupération de secrets, veuillez consulter [Obtenez des secrets auprès de AWS Secrets Manager](retrieving-secrets.md).
**ListSecrets**
Généré par l'[ListSecrets](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecrets.html)opération. Pour plus d'informations sur l'établissement d'une liste de secrets, veuillez consulter [Trouvez des secrets dans AWS Secrets Manager](manage_search-secret.md).
**ListSecretVersionIds**
Généré par l'[ListSecretVersionIds](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecretVersionIds.html)opération.
**PutResourcePolicy**
Généré par l'[PutResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html)opération. Pour plus d'informations sur les autorisations, veuillez consulter [Authentification et contrôle d'accès pour AWS Secrets Manager](auth-and-access.md).
**PutSecretValue**
Généré par l'[PutSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutSecretValue.html)opération. Pour plus d'informations sur la mise à jour d'un secret, veuillez consulter [Modifier un AWS Secrets Manager secret](manage_update-secret.md).
**RemoveRegionsFromReplication**
Généré par l'[RemoveRegionsFromReplication](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RemoveRegionsFromReplication.html)opération. Pour plus d'informations sur la réplication d'un secret, veuillez consulter [Reproduisez les AWS Secrets Manager secrets d'une région à l'autre](replicate-secrets.md).
**ReplicateSecretToRegions**
Généré par l'[ReplicateSecretToRegions](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html)opération. Pour plus d'informations sur la réplication d'un secret, veuillez consulter [Reproduisez les AWS Secrets Manager secrets d'une région à l'autre](replicate-secrets.md).
**RestoreSecret**
Généré par l'[RestoreSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RestoreSecret.html)opération. Pour plus d'informations sur la restauration d'un secret supprimé, veuillez consulter [Restaurer un AWS Secrets Manager secret](manage_restore-secret.md).
**RotateSecret**
Généré par l'[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)opération. Pour plus d'informations sur la rotation, veuillez consulter [Faire pivoter AWS Secrets Manager les secrets](rotating-secrets.md).
**StopReplicationToReplica**
Généré par l'[StopReplicationToReplica](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html)opération. Pour plus d'informations sur la réplication d'un secret, veuillez consulter [Reproduisez les AWS Secrets Manager secrets d'une région à l'autre](replicate-secrets.md).
**TagResource**
Généré par l'[TagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_TagResource.html)opération. Pour plus d'informations sur l'étiquetage d'un secret, veuillez consulter [Marquer des secrets dans AWS Secrets Manager](managing-secrets_tagging.md).
**UntagResource**
Généré par l'[UntagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UntagResource.html)opération. Pour plus d'informations sur la suppression du balisage d'un secret, veuillez consulter [Marquer des secrets dans AWS Secrets Manager](managing-secrets_tagging.md).
**UpdateSecret**
Généré par l'[UpdateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecret.html)opération. Pour plus d'informations sur la mise à jour d'un secret, veuillez consulter [Modifier un AWS Secrets Manager secret](manage_update-secret.md).
**UpdateSecretVersionStage**
Généré par l'[UpdateSecretVersionStage](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecretVersionStage.html)opération. Pour plus d'informations sur les étapes des versions, veuillez consulter [Versions secrètes](whats-in-a-secret.md#term_version).
**ValidateResourcePolicy**
Généré par l'[ValidateResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ValidateResourcePolicy.html)opération. Pour plus d'informations sur les autorisations, veuillez consulter [Authentification et contrôle d'accès pour AWS Secrets Manager](auth-and-access.md).
## Entrées du journal marquées pour suppression
Outre les événements relatifs aux opérations de Secrets Manager, Secrets Manager génère les événements suivants relatifs à la suppression. Ces événements ont `"detail-type": ["AWS Service Event via CloudTrail"]`.
**CancelSecretVersionDelete**
Généré par le service Secrets Manager. Si vous appelez `DeleteSecret` sur un secret qui a des versions, puis que vous appelez `RestoreSecret` plus tard, Secrets Manager journalise cet événement pour chaque version de secret restaurée. Pour plus d'informations sur la restauration d'un secret supprimé, veuillez consulter [Restaurer un AWS Secrets Manager secret](manage_restore-secret.md).
**EndSecretVersionDelete**
Généré par le service Secrets Manager lorsqu'une version de secret est supprimée. Pour de plus amples informations, veuillez consulter [Supprimer un AWS Secrets Manager secret](manage_delete-secret.md).
**StartSecretVersionDelete**
Généré par le service Secrets Manager lorsque ce dernier lance la suppression d'une version de secret. Pour plus d'informations sur la suppression de secrets, veuillez consulter [Supprimer un AWS Secrets Manager secret](manage_delete-secret.md).
**SecretVersionDeletion**
Généré par le service Secrets Manager lorsque ce dernier supprime une version de secret obsolète. Pour plus d'informations, consultez [Versions de secret](whats-in-a-secret.md#term_version).
## Entrées de journal pour la réplication
Outre les événements liés aux opérations de Secrets Manager, Secrets Manager génère les événements suivants liés à la réplication. Ces événements ont `"detail-type": ["AWS Service Event via CloudTrail"]`.
**ReplicationFailed**
Généré par le service Secrets Manager en cas d'échec de la réplication. Pour plus d'informations sur la réplication d'un secret, veuillez consulter [Reproduisez les AWS Secrets Manager secrets d'une région à l'autre](replicate-secrets.md).
**ReplicationStarted**
Généré par le service Secrets Manager lorsque Secrets Manager lance la réplication d'un secret. Pour plus d'informations sur la réplication d'un secret, veuillez consulter [Reproduisez les AWS Secrets Manager secrets d'une région à l'autre](replicate-secrets.md).
**ReplicationSucceeded**
Généré par le service Secrets Manager lorsque la réplication d'un secret est réussie. Pour plus d'informations sur la réplication d'un secret, veuillez consulter [Reproduisez les AWS Secrets Manager secrets d'une région à l'autre](replicate-secrets.md).
## Entrées du journal pour la rotation
Outre les événements relatifs aux opérations de Secrets Manager, Secrets Manager génère les événements suivants relatifs à la rotation. Ces événements ont `"detail-type": ["AWS Service Event via CloudTrail"]`.
**RotationStarted**
Généré par le service Secrets Manager lorsque Secrets Manager lance la rotation d'un secret. Pour plus d'informations sur la rotation, veuillez consulter [Faire pivoter AWS Secrets Manager les secrets](rotating-secrets.md).
**RotationAbandoned**
Généré par le service Secrets Manager lorsque Secrets Manager abandonne une tentative de rotation et supprime l'étiquette `AWSPENDING` d'une version existante d'un secret. Secrets Manager abandonne la rotation lorsque vous créez une nouvelle version d'un secret pendant la rotation. Pour plus d'informations sur la rotation, veuillez consulter [Faire pivoter AWS Secrets Manager les secrets](rotating-secrets.md).
**RotationFailed**
Généré par le service Secrets Manager en cas d'échec de la rotation. Pour plus d'informations sur la rotation, veuillez consulter [Résoudre les problèmes de rotation AWS Secrets Manager](troubleshoot_rotation.md).
**RotationSucceeded**
Généré par le service Secrets Manager lorsque la rotation d'un secret est réussie. Pour plus d'informations sur la rotation, veuillez consulter [Faire pivoter AWS Secrets Manager les secrets](rotating-secrets.md).
**TestRotationStarted**
Généré par le service Secrets Manager lorsque Secrets Manager commence à tester la rotation d'un secret dont la rotation immédiate n'est pas planifiée. Pour plus d'informations sur la rotation, veuillez consulter [Faire pivoter AWS Secrets Manager les secrets](rotating-secrets.md).
**TestRotationSucceeded**
Généré par le service Secrets Manager lorsque Secrets Manager teste avec succès la rotation d'un secret dont la rotation immédiate n'est pas planifiée. Pour plus d'informations sur la rotation, veuillez consulter [Faire pivoter AWS Secrets Manager les secrets](rotating-secrets.md).
**TestRotationFailed**
Généré par le service Secrets Manager lorsque Secrets Manager teste la rotation d'un secret dont la rotation immédiate n'est pas planifiée et que la rotation a échoué. Pour plus d'informations sur la rotation, veuillez consulter [Résoudre les problèmes de rotation AWS Secrets Manager](troubleshoot_rotation.md).
# Surveillez AWS Secrets Manager avec Amazon CloudWatch
À l'aide d'Amazon CloudWatch, vous pouvez surveiller les AWS services et créer des alarmes pour vous informer lorsque les indicateurs changent. CloudWatch conserve ces statistiques pendant 15 mois, afin que vous puissiez accéder aux informations historiques et avoir une meilleure idée des performances de votre application ou service Web. En AWS Secrets Manager effet, vous pouvez contrôler le nombre de secrets de votre compte, y compris les secrets marqués pour suppression, et les appels d'API vers Secrets Manager, y compris les appels passés via la console. Pour plus d'informations sur la façon de surveiller les métriques, voir [Utiliser CloudWatch les métriques](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) dans le *Guide de CloudWatch l'utilisateur*.
**Pour trouver les statistiques de Secrets Manager**
1. Sur la CloudWatch console, sous **Métriques**, sélectionnez **Toutes les métriques**.
1. Dans le champ de recherche de **métriques**, entrez`secret`.
1. Procédez comme suit :
+ Pour contrôler le nombre de secrets de votre compte, choisissez **AWS/SecretsManager**, puis sélectionnez **SecretCount**. Cette métrique est publiée toutes les heures.
+ Pour surveiller les appels d'API à Secrets Manager, y compris les appels effectués via la console, choisissez **Utilisation > Par AWS ressource**, puis sélectionnez les appels d'API à surveiller. Pour une liste des Secrets Manager APIs, consultez la section [Opérations de Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_Operations.html).
1. Procédez comme suit :
+ Pour créer un graphique de la métrique, consultez la section Représentation [graphique des métriques](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/graph_metrics.html) dans le *guide de l' CloudWatch utilisateur Amazon*.
+ Pour détecter les anomalies, consultez la section [Utilisation de la détection des CloudWatch anomalies](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Anomaly_Detection.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
+ Pour obtenir les statistiques d'une métrique, consultez la section [Obtenir les statistiques d'une métrique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/getting-metric-statistics.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
## CloudWatch alarmes
Vous pouvez créer une CloudWatch alarme qui envoie un message Amazon SNS lorsque la valeur d'une métrique change et provoque le changement d'état de l'alarme. Vous pouvez définir une alarme sur la métrique Secrets Manager`ResourceCount`, qui correspond au nombre de secrets de votre compte. Vous pouvez également définir des alarmes sur Une alarme surveille une métrique sur une période que vous spécifiez et exécute des actions en fonction de la valeur de la métrique par rapport à un seuil donné sur un certain nombre de périodes. Les alarmes déclenchent des actions uniquement pour les changements d'état prolongés. CloudWatch les alarmes n'appellent pas d'actions simplement parce qu'elles sont dans un état particulier ; l'état doit avoir changé et être maintenu pendant un certain nombre de périodes.
Pour plus d'informations, consultez les sections [Utilisation des CloudWatch alarmes Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) et [Création CloudWatch d'une alarme basée sur la détection d'anomalies](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Create_Anomaly_Detection_Alarm.html) dans le *guide de l'CloudWatch utilisateur*.
Vous pouvez également définir des alarmes qui surveillent certains seuils et envoient des notifications ou prennent des mesures lorsque ces seuils sont atteints. Pour plus d'informations, consultez le [guide de CloudWatch l'utilisateur Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
# Associez AWS Secrets Manager des événements à Amazon EventBridge
Dans Amazon EventBridge, vous pouvez associer les événements de Secrets Manager aux entrées du CloudTrail journal. Vous pouvez configurer EventBridge des règles qui recherchent ces événements, puis envoient les nouveaux événements générés à une cible pour qu'elle prenne des mesures. Pour obtenir la liste des CloudTrail entrées enregistrées par Secrets Manager, consultez[CloudTrail entrées](cloudtrail_log_entries.md). Pour obtenir des instructions de configuration EventBridge, reportez-vous à la section [Getting started with EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html) dans le *guide de EventBridge l'utilisateur*.
## Faire correspondre toutes les modifications à un secret spécifié
**Note**
Étant donné que [certains événements de Secrets Manager](cloudtrail_log_entries.md) renvoient l'ARN du secret avec des majuscules différentes, dans les modèles d'événements correspondant à plusieurs actions, pour spécifier un secret par ARN, vous devrez peut-être inclure à la fois les clés `arn` et `aRN`. Pour obtenir plus d'informations, consultez [re:Post AWS](https://repost.aws/knowledge-center/secrets-manager-arn).
L'exemple suivant montre un modèle d' EventBridge événement qui correspond aux entrées du journal pour les modifications apportées à un secret.
```
{
"source": ["aws.secretsmanager"],
"detail-type": ["AWS API Call via CloudTrail"],
"detail": {
"eventSource": ["secretsmanager.amazonaws.com"],
"eventName": ["DeleteResourcePolicy", "PutResourcePolicy", "RotateSecret", "TagResource", "UntagResource", "UpdateSecret"],
"responseElements": {
"arn": ["arn:aws:secretsmanager:us-west-2:012345678901:secret:mySecret-a1b2c3"]
}
}
}
```
## Faire correspondre les événements lorsqu'une valeur secrète change
L'exemple suivant montre un modèle d' EventBridge événement qui correspond aux entrées du CloudTrail journal pour les modifications de valeurs secrètes résultant de mises à jour manuelles ou de rotation automatique. Étant donné que certains de ces événements proviennent d'opérations de Secrets Manager et que d'autres sont générés par le service Secrets Manager, vous devez inclure les `detail-type` pour les deux.
```
{
"source": ["aws.secretsmanager"],
"detail-type": [
"AWS API Call via CloudTrail",
"AWS Service Event via CloudTrail"
],
"detail": {
"eventSource": ["secretsmanager.amazonaws.com"],
"eventName": ["PutSecretValue", "UpdateSecret", "RotationSucceeded"]
}
}
```
# Surveiller l'accès aux AWS Secrets Manager secrets dont la suppression est prévue
Vous pouvez utiliser à la AWS CloudTrail fois Amazon CloudWatch Logs et Amazon Simple Notification Service (Amazon SNS) pour créer une alarme qui vous avertira de toute tentative d'accès à un secret en attente de suppression. Si vous recevez une notification d'une alarme, vous pouvez annuler la suppression du secret afin de disposer de plus de temps pour déterminer si vous souhaitez vraiment le supprimer. Votre investigation peut aboutir à la restauration du secret car vous avez encore besoin du secret. Sinon, vous devrez peut-être mettre à jour l'utilisateur avec les détails du nouveau secret à utiliser.
Les procédures suivantes expliquent comment recevoir une notification lorsqu'une demande d'`GetSecretValue`opération entraîne l'enregistrement d'un message d'erreur spécifique dans vos fichiers CloudTrail journaux. Les autres opérations d'API peuvent être effectuées sur le secret sans déclencher l'alarme. Cette CloudWatch alarme détecte une utilisation qui pourrait indiquer qu'une personne ou une application utilise des informations d'identification périmées.
Avant de commencer ces procédures, vous devez activer le compte Région AWS and CloudTrail dans lequel vous souhaitez surveiller les demandes AWS Secrets Manager d'API. Pour de plus amples informations, consultez [Création d'un journal d'activité pour la première fois](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *Guide de l'utilisateur AWS CloudTrail *.
## Étape 1 : Configuration de la livraison du fichier CloudTrail journal à CloudWatch Logs
Vous devez configurer la livraison de vos fichiers CloudTrail CloudWatch journaux à Logs. Vous procédez ainsi pour que CloudWatch Logs puisse les surveiller afin de détecter les demandes d'API Secrets Manager visant à récupérer un secret en attente de suppression.
**Pour configurer la livraison des fichiers CloudTrail journaux à CloudWatch Logs**
1. Ouvrez la CloudTrail console à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans la barre de navigation supérieure, choisissez l'option Région AWS pour surveiller les secrets.
1. Dans le volet de navigation de gauche, choisissez **Pistes**, puis choisissez le nom de la piste pour laquelle vous souhaitez effectuer la configuration CloudWatch.
1. Sur la page **Configuration des sentiers**, faites défiler la page jusqu'à la section **CloudWatch Logs**, puis cliquez sur l'icône de modification (![\[Remote control icon with power, volume, and channel buttons.\]](http://docs.aws.amazon.com/fr_fr/secretsmanager/latest/userguide/images/edit-pencil-icon.png)).
1. Dans **New or existing log group (Groupe de journaux nouveau ou existant)**, saisissez un nom pour le groupe de journaux, comme **CloudTrail/MyCloudWatchLogGroup**.
1. Pour le **rôle IAM**, vous pouvez utiliser le rôle par défaut nommé **CloudTrail\$1 CloudWatchLogs \$1Role**. Ce rôle dispose d'une politique de rôle par défaut avec les autorisations requises pour transmettre CloudTrail des événements au groupe de journaux.
1. Choisissez **Continue (Continuer)** pour enregistrer votre configuration.
1. Sur la AWS CloudTrail page **du groupe de CloudWatch journalisation des CloudTrail événements associés à l'activité des API de votre compte**, sélectionnez **Autoriser**.
## Étape 2 : Création de l' CloudWatch alarme
Pour recevoir une notification lorsqu'une opération de `GetSecretValue` l'API Secrets Manager demande l'accès à un secret en attente de suppression, vous devez créer une CloudWatch alarme et configurer une notification.
**Pour créer une CloudWatch alarme**
1. Connectez-vous à la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans la barre de navigation supérieure, choisissez la AWS région dans laquelle vous souhaitez surveiller les secrets.
1. Dans le panneau de navigation de gauche, choisissez **Logs** (Journaux).
1. Dans la liste des **groupes de journaux**, cochez la case à côté du groupe de journaux que vous avez créé lors de la procédure précédente, tel que **CloudTrail/MyCloudWatchLogGroup**. Ensuite, choisissez **Create Metric Filter (Créer un filtre de métrique)**.
1. Pour **Filter Pattern (Modèle de filtre)**, entrez ou collez ce qui suit :
```
{ $.eventName = "GetSecretValue" && $.errorMessage = "*secret because it was marked for deletion*" }
```
Choisissez **Assign Metric (Affecter une métrique)**.
1. Sur la page **Create Metric Filter and Assign a Metric (Créer un filtre de métrique et affecter une métrique)**, procédez comme suit :
1. Dans **Metric Namespace (Espace de noms de la métrique)**, saisissez **CloudTrailLogMetrics**.
1. Dans **Metric Name (Nom de la métrique)**, saisissez **AttemptsToAccessDeletedSecrets**.
1. Choisissez **Show advanced metric settings (Afficher les paramètres de métriques avancés)**, puis, si nécessaire, pour **Metric Value (Valeur métrique)**, saisissez **1**.
1. Choisissez **Create Filter (Créer un filtre)**.
1. Dans la zone de filtre, choisissez **Create Alarm (Créer une alarme)**.
1. Dans la fenêtre **Create Alarm (Créer une alarme)**, procédez comme suit :
1. Pour **Name (Nom)**, tapez **AttemptsToAccessDeletedSecretsAlarm**.
1. Sous **Whenever (Lorsque)**, pour **is (est :)**, choisissez **>=** et saisissez **1**.
1. En regard de **Send notification to (Envoyer une notification à)**, effectuez l'une des opérations suivantes :
+ Pour créer et utiliser une nouvelle rubrique Amazon SNS, choisissez **New list (Nouvelle liste)**, puis saisissez le nom d'une nouvelle rubrique. Pour **Email list (Liste des adresses e-mail)**, tapez au moins une adresse e-mail. Vous pouvez taper plusieurs adresses e-mail en les séparant par des virgules.
+ Pour utiliser une rubrique Amazon SNS existante, choisissez le nom de la rubrique à utiliser. Si aucune liste n'existe, choisissez **Select list (Sélectionner la liste)**.
1. Sélectionnez **Create Alarm (Créer une alarme)**.
## Étape 3 : Testez l' CloudWatch alarme
Pour tester votre alarme, créez un secret, puis planifiez sa suppression. Essayez ensuite de récupérer la valeur du secret. Vous recevez rapidement un e-mail à l'adresse que vous avez configurée dans l'alarme. Il vous avertit de l'utilisation d'un secret dont la suppression est programmée.
# Surveillez AWS Secrets Manager les secrets pour garantir la conformité en utilisant AWS Config
Vous pouvez l'utiliser AWS Config pour évaluer vos secrets pour voir s'ils sont conformes à vos normes. Vous définissez vos exigences internes en matière de sécurité et de conformité pour les secrets à l'aide de AWS Config règles. AWS Config Vous pouvez ensuite identifier les secrets qui ne sont pas conformes à vos règles. Vous pouvez également suivre les modifications apportées aux métadonnées secrètes, à la [configuration de rotation](find-secrets-not-rotating.md), à la clé KMS utilisée pour le chiffrement secret, à la fonction de rotation Lambda et aux balises associées à un secret.
Vous pouvez configurer AWS Config pour vous informer des modifications. Pour plus d'informations, consultez la rubrique [Notifications AWS Config envoyées à un Amazon SNS.](https://docs.aws.amazon.com/config/latest/developerguide/notifications-for-AWS-Config.html)
Si vous avez des secrets dans plusieurs entités Comptes AWS et Régions AWS au sein de votre organisation, vous pouvez agréger ces données de configuration et de conformité. Pour plus d'informations, consultez la section [Agrégation de données multicomptes et multirégions](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html).
**Pour évaluer si les secrets sont conformes**
+ Suivez les instructions de la section [Évaluation de vos ressources à l'aide de AWS Config règles](https://docs.aws.amazon.com/config/latest/developerguide/evaluating-your-resources.html), puis choisissez l'une des règles suivantes :
+ `[secretsmanager-secret-unused](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)` : vérifie si les secrets ont été consultés dans le nombre de jours spécifié.
+ `[secretsmanager-using-cmk](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-using-cmk.html)`— Vérifie si les secrets sont chiffrés à l'aide de la clé que vous avez créée Clé gérée par AWS `aws/secretsmanager` ou d'une clé gérée par le client dans laquelle vous l'avez créée AWS KMS.
+ `[secretsmanager-rotation-enabled-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)` : vérifie si la rotation est configurée pour les secrets stockés dans Secrets Manager.
+ `[secretsmanager-scheduled-rotation-success-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)` : vérifie si la dernière rotation réussie se situe dans les limites de la fréquence de rotation configurée. La fréquence minimale de contrôle se fait de façon quotidienne.
+ `[secretsmanager-secret-periodic-rotation](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)` : vérifie si les secrets ont fait l'objet d'une rotation dans le nombre de jours spécifié.
# Surveillez les coûts de Secrets Manager
Vous pouvez utiliser Amazon CloudWatch pour surveiller les AWS Secrets Manager frais estimés. Pour plus d'informations, consultez la section [Création d'une alarme de facturation pour surveiller vos AWS frais estimés](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/monitor_estimated_charges_with_cloudwatch.html) dans le *Guide de CloudWatch l'utilisateur*.
Une autre option pour surveiller vos coûts est la détection AWS des anomalies de coûts. Pour plus d'informations, consultez la section [Détection des dépenses inhabituelles grâce à la détection des anomalies de AWS coût](https://docs.aws.amazon.com/cost-management/latest/userguide/manage-ad.html) dans le *guide de l'utilisateur de AWS Cost Management*.
Pour plus d'informations sur le suivi de votre utilisation de Secrets Manager, reportez-vous [Surveillez AWS Secrets Manager avec Amazon CloudWatch](monitoring-cloudwatch.md) aux sections et[Enregistrez AWS Secrets Manager les événements avec AWS CloudTrail](monitoring-cloudtrail.md).
Pour plus d'informations sur la AWS Secrets Manager tarification, consultez[Tarification](intro.md#asm_pricing).
# Détectez les menaces avec Amazon GuardDuty
Amazon GuardDuty est un service de détection des menaces qui vous aide à protéger vos comptes, vos conteneurs, vos charges de travail et les données de votre AWS environnement. En utilisant des modèles d'apprentissage automatique (ML) et des fonctionnalités de détection des anomalies et des menaces, vous surveillez GuardDuty en permanence différentes sources de journaux afin d'identifier et de hiérarchiser les risques de sécurité potentiels et les activités malveillantes dans votre environnement. Par exemple, GuardDuty détectera les menaces potentielles telles que l'accès inhabituel ou suspect à des secrets et l'exfiltration d'informations d'identification au cas où il détecterait des informations d'identification créées exclusivement pour une EC2 instance Amazon via un rôle de lancement d'instance mais utilisées à partir d'un autre compte interne. AWS Pour plus d'informations, consultez le [guide de GuardDuty l'utilisateur Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html).
Un autre exemple de cas d'utilisation pour la détection est le comportement anormal. Par exemple, si vous AWS Secrets Manager recevez généralement `create-secret` des `list-secrets` appels d'une entité utilisant le SDK Java, puis qu'une autre entité commence à appeler `batch-get-secret-value` et à `get-secret-value` utiliser le AWS CLI depuis l'extérieur du VPN, GuardDuty vous pouvez signaler une découverte selon laquelle la deuxième entité invoque de manière anormale. `get-secret-value` `describe-secret` APIs Pour plus d'informations, voir [Type de recherche GuardDuty IAM CredentialAccess :IAMUser/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#credentialaccess-iam-anomalousbehavior).