本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用以下方法监控 AWS Secrets Manager 密钥的合规性 AWS Config 您可以使用 AWS Config 来评估您的密钥,以查看它们是否符合您的标准。您可以使用 AWS Config 规则定义对机密的内部安全和合规性要求。然后 AWS Config 可以识别不符合你规则的秘密。您还可以跟踪对密钥元数据、[轮换配置](find-secrets-not-rotating.md)、用于密钥加密的 KMS 密钥、Lambda 轮换函数以及与密钥关联的标签等进行的更改。 您可以配置 AWS Config 为将更改通知您。有关更多信息,请参阅[AWS Config 发送至 Amazon SNS 主题的通知](https://docs.aws.amazon.com/config/latest/developerguide/notifications-for-AWS-Config.html)。 如果您的组织中有多个 AWS 账户 密钥,则可以聚合该配置和合规性数据。 AWS 区域 有关更多信息,请参阅 [Multi-account Multi-Region data aggregation](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)。 **评测密钥是否合规** + 按照使用[AWS Config 规则评估资源中的说明进行](https://docs.aws.amazon.com/config/latest/developerguide/evaluating-your-resources.html)操作,然后选择以下规则之一: + `[secretsmanager-secret-unused](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)` — 检查是否已在指定的天数内访问了密钥。 + `[secretsmanager-using-cmk](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-using-cmk.html)`— 检查密钥是否使用您在中创建的客户托管密钥 AWS 托管式密钥 `aws/secretsmanager`或客户管理的密钥进行加密 AWS KMS。 + `[secretsmanager-rotation-enabled-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)` — 检查是否为存储在 Secrets Manager 中的密钥配置了轮换。 + `[secretsmanager-scheduled-rotation-success-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)`— 检查上次成功的轮换是否在配置的轮换频率内。检查的最低频率为每天。 + `[secretsmanager-secret-periodic-rotation](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)` — 检查是否已在指定的天数内轮换了密钥。