本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置 AWS Secrets Manager 和权限
在向发送警报之前 PagerDuty,必须安全地存储您的 PagerDuty 集成密钥并配置必要的权限。此过程包括在中创建密钥 AWS Secrets Manager,使用客户托管 AWS Key Management Service (AWS KMS) 密钥对其进行加密,以及向适用于 Prometheus 的 Amazon 托管服务授予访问该密钥及其加密密钥所需的权限。以下过程将指导您完成此配置过程的每个步骤。
在 Secrets Manager 中为以下内容创建密钥 PagerDuty
要 PagerDuty 用作警报接收器,必须将 PagerDuty集成密钥存储在 Secrets Manager 中。按照以下步骤进行操作:
-
选择存储新密钥。
-
对于密钥类型,请选择其他密钥类型。
-
对于密钥/值对,请输入您的 PagerDuty集成密钥作为秘密值。这要么是您的 PagerDuty 集成中的路由密钥,要么是服务密钥。
-
选择下一步。
-
输入密钥的名称和描述,然后选择下一步。
-
根据需要配置旋转设置,然后选择下一步。
-
查看您的设置并选择商店。
-
创建密钥后,请记下它的 ARN。在配置警报管理器时,你需要这个。
使用客户管理 AWS KMS 的密钥加密您的密钥
您必须向亚马逊 Prometheus 托管服务授予访问您的密钥及其加密密钥的权限:
-
密钥资源策略:在 Secrets Manager 控制台中打开您的密钥
。 -
选择资源权限。
-
选择编辑权限。
-
添加以下政策声明。在语句中,
highlighted values用您的特定值替换。{ "Effect": "Allow", "Principal": { "Service": "aps.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:aps:aws-region:123456789012:workspace/WORKSPACE_ID" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } -
选择保存。
-
-
KMS 密钥策略:在AWS KMS 控制台
中打开您的 AWS KMS 密钥。 -
选择密钥策略。
-
选择编辑。
-
添加以下政策声明。在语句中,
highlighted values用您的特定值替换。{ "Effect": "Allow", "Principal": { "Service": "aps.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:aps:aws-region:123456789012:workspace/WORKSPACE_ID" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } -
选择保存。
-
后续步骤-继续下一个主题,配置警报管理器以向其发送警报 PagerDuty。
