AWS Config を使用して、AWS Secrets Manager シークレットのコンプライアンスを監査する
AWS Config を使用してシークレットを評価し、それらが標準に準拠しているかどうかを確認できます。を使用して、シークレットに関する内部セキュリティおよびコンプライアンス要件を定義します。AWS Configルール。その後AWS Configは、ルールに準拠していないシークレットを特定できます。また、シークレットメタデータ、ローテーション設定、シークレット暗号化に使用される KMS キー、Lambda ローテーション関数、シークレットに関連付けられたタグの変更を追跡することもできます。
変更を通知するように AWS Config を設定することができます。詳細については、「AWS Config から Amazon SNS トピックに送信される通知」を参照してください。
秘密が複数ある場合AWS アカウントそしてAWS リージョン組織では、その構成とコンプライアンスデータを集計できます。詳細については、「Multi-account Multi-Region data aggregation」を参照してください。
シークレットが準拠しているかどうかを評価するには
-
「AWS Config ルールを使用してリソースを評価する」の手順に従い、次のいずれかのルールを選択します。
-
secretsmanager-secret-unused— 指定した日数内にシークレットがアクセスされたかどうかを確認します。 -
secretsmanager-using-cmk— シークレットが、AWS マネージドキーaws/secretsmanagerまたは AWS KMS で作成したカスタマーマネージド型キーを使用して暗号化されているかどうかを確認します。 -
secretsmanager-rotation-enabled-check— Secrets Manager に保存されているシークレットに対してローテーションが設定されているかどうかを確認します。 -
secretsmanager-scheduled-rotation-success-check– 最後に成功したローテーションが、設定されたローテーション頻度の範囲内であるかどうかをチェックします。チェックの最小頻度は日次です。 -
secretsmanager-secret-periodic-rotation— 指定した日数内にシークレットがローテーションされたかどうかを確認します。
-
