本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用记录 AWS Secrets Manager 事件 AWS CloudTrail
<a name="monitoring-cloudtrail"></a>

AWS CloudTrail 将 Secrets Manager 的所有 API 调用记录为事件，包括来自 Secrets Manager 控制台的调用，以及其他几个用于轮换和删除密钥版本的事件。有关 Secrets Manager 记录中的日志条目列表，请参阅 [CloudTrail 条目](cloudtrail_log_entries.md)。

您可以使用 CloudTrail 控制台查看最近 90 天记录的事件。要持续记录您的 AWS 账户中的事件，包括 Secrets Manager 的事件，请创建一个跟踪，以便将日志文件 CloudTrail 传输到 Amazon S3 存储桶。请参阅[为您的 AWS 账户创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)。您也可以配置 CloudTrail 为接收来自[多个 AWS 账户](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)和的 CloudTrail 日志文件[AWS 区域](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)。

您可以配置其他 AWS 服务，以进一步分析和处理 CloudTrail 日志中收集的数据。查看[与 CloudTrail 日志的AWS 服务集成。](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)当您向 Amazon S3 存储桶 CloudTrail 发布新的日志文件时，您还可以收到通知。有关信息，请参阅[配置 Amazon SNS 通知](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)。 CloudTrail

**从 CloudTrail 日志中检索 Secrets Manager 事件（控制台）**

1. 打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1. 确保控制台指向发生事件的区域。控制台仅显示在所选区域中发生的那些事件。从控制台右上角的下拉列表中选择区域。

1. 在左侧导航窗格中，选择 **Event history (事件历史记录)**。

1. 选择**筛选**条件 and/or 一个**时间范围**，以帮助您找到要查找的事件。例如：

   1. 要查看所有 Secrets Manager 事件，对于**查找属性**，请选择**事件源**。然后，对于 **Enter event source (输入事件源)**，选择 **secretsmanager.amazonaws.com**。

   1. 要查看密钥的所有事件，对于**查找属性**，请选择**资源名称**。然后，对于**输入资源名称**，输入密钥的名称。

1. 要查看更多详细信息，请选择事件旁边的展开箭头。要查看所有可用信息，请选择 **View event (查看事件)**。

## AWS CLI
<a name="monitoring-cloudtrail_cli"></a>

**Example 从 CloudTrail 日志中检索 Secrets Manager 事件**  
以下 [https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html) 示例将查找 Secrets Manager 事件。  

```
aws cloudtrail lookup-events \
    --region us-east-1 \
    --lookup-attributes AttributeKey=EventSource,AttributeValue=secretsmanager.amazonaws.com
```

# AWS CloudTrail Secrets Manager 的参赛作品
<a name="cloudtrail_log_entries"></a>

AWS Secrets Manager 将所有 Secrets Manager 操作以及其他与轮换和删除相关的事件的条目写入您的 AWS CloudTrail 日志。有关对这些事件执行操作的信息，请参阅 [将 Secrets Manager 活动与 EventBridge](monitoring-eventbridge.md)。

**Topics**
+ [Secrets Manager 操作的日志条目](#cloudtrail_log_entries_operations)
+ [有关删除操作的日志条目](#cloudtrail_log_entries_deletion)
+ [可用于复制的日志条目](#cloudtrail_log_entries_replication)
+ [有关轮换操作的日志条目](#cloudtrail_log_entries_rotation)

## Secrets Manager 操作的日志条目
<a name="cloudtrail_log_entries_operations"></a>

通过调用 Secrets Manager 操作生成的事件具有 `"detail-type": ["AWS API Call via CloudTrail"]`。

**注意**  
2024 年 2 月之前，某些 Secrets Manager 操作报告的事件的密钥 ARN 包含“aRN”而不是“arn”。有关更多信息，请参阅 [AWS re:Post](https://repost.aws/knowledge-center/secrets-manager-arn)。

以下是您或服务通过 API、SDK 或 CLI 调用 Secrets Manager 操作时生成的 CloudTrail 条目。

**BatchGetSecretValue**  
由[BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html)操作生成。有关检索密钥的信息，请参阅 [从中获取秘密 AWS Secrets Manager](retrieving-secrets.md)。

**CancelRotateSecret**  
由[CancelRotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CancelRotateSecret.html)操作生成。有关轮换的更多信息，请参阅 [轮换 AWS Secrets Manager 秘密](rotating-secrets.md)。

**CreateSecret**  
由[CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)操作生成。有关创建密钥的信息，请参阅 [使用管理密钥 AWS Secrets Manager](managing-secrets.md)。

**DeleteResourcePolicy**  
由[DeleteResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteResourcePolicy.html)操作生成。有关权限的信息，请参阅 [的身份验证和访问控制 AWS Secrets Manager](auth-and-access.md)。

**DeleteSecret**  
由[DeleteSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteSecret.html)操作生成。有关删除密钥的信息，请参阅 [删除密 AWS Secrets Manager 钥](manage_delete-secret.md)。

**DescribeSecret**  
由[DescribeSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html)操作生成。

**GetRandomPassword**  
由[GetRandomPassword](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetRandomPassword.html)操作生成。

**GetResourcePolicy**  
由[GetResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html)操作生成。有关权限的信息，请参阅 [的身份验证和访问控制 AWS Secrets Manager](auth-and-access.md)。

**GetSecretValue**  
由[GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html)和[BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html)操作生成。有关检索密钥的信息，请参阅 [从中获取秘密 AWS Secrets Manager](retrieving-secrets.md)。

**ListSecrets**  
由[ListSecrets](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecrets.html)操作生成。有关列出密钥的信息，请参阅 [在里面寻找秘密 AWS Secrets Manager](manage_search-secret.md)。

**ListSecretVersionIds**  
由[ListSecretVersionIds](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecretVersionIds.html)操作生成。

**PutResourcePolicy**  
由[PutResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html)操作生成。有关权限的信息，请参阅 [的身份验证和访问控制 AWS Secrets Manager](auth-and-access.md)。

**PutSecretValue**  
由[PutSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutSecretValue.html)操作生成。有关更新密钥的信息，请参阅 [修改密 AWS Secrets Manager 钥](manage_update-secret.md)。

**RemoveRegionsFromReplication**  
由[RemoveRegionsFromReplication](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RemoveRegionsFromReplication.html)操作生成。有关复制密钥的更多信息，请参阅 [跨区域复制 AWS Secrets Manager 密钥](replicate-secrets.md)。

**ReplicateSecretToRegions**  
由[ReplicateSecretToRegions](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html)操作生成。有关复制密钥的更多信息，请参阅 [跨区域复制 AWS Secrets Manager 密钥](replicate-secrets.md)。

**RestoreSecret**  
由[RestoreSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RestoreSecret.html)操作生成。有关还原已删除密钥的信息，请参阅 [恢复密 AWS Secrets Manager 钥](manage_restore-secret.md)。

**RotateSecret**  
由[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)操作生成。有关轮换的更多信息，请参阅 [轮换 AWS Secrets Manager 秘密](rotating-secrets.md)。

**StopReplicationToReplica**  
由[StopReplicationToReplica](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html)操作生成。有关复制密钥的更多信息，请参阅 [跨区域复制 AWS Secrets Manager 密钥](replicate-secrets.md)。

**TagResource**  
由[TagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_TagResource.html)操作生成。有关标记密钥的信息，请参阅 [在中标记机密 AWS Secrets Manager](managing-secrets_tagging.md)。

**UntagResource**  
由[UntagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UntagResource.html)操作生成。有关取消密钥标签的信息，请参阅 [在中标记机密 AWS Secrets Manager](managing-secrets_tagging.md)。

**UpdateSecret**  
由[UpdateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecret.html)操作生成。有关更新密钥的信息，请参阅 [修改密 AWS Secrets Manager 钥](manage_update-secret.md)。

**UpdateSecretVersionStage**  
由[UpdateSecretVersionStage](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecretVersionStage.html)操作生成。有关版本阶段的更多信息，请参阅 [密钥版本](whats-in-a-secret.md#term_version)。

**ValidateResourcePolicy**  
由[ValidateResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ValidateResourcePolicy.html)操作生成。有关权限的信息，请参阅 [的身份验证和访问控制 AWS Secrets Manager](auth-and-access.md)。

## 有关删除操作的日志条目
<a name="cloudtrail_log_entries_deletion"></a>

除了生成与 Secrets Manager 操作有关的事件外，Secrets Manager 还会生成以下与删除有关的事件。这些事件具有 `"detail-type": ["AWS Service Event via CloudTrail"]`。

**CancelSecretVersionDelete**  
由 Secrets Manager 服务生成。如果在具有版本的密钥上调用 `DeleteSecret`，然后再调用 `RestoreSecret`，则 Secrets Manager 会为还原的每个密钥版本记录此事件。有关还原已删除密钥的信息，请参阅 [恢复密 AWS Secrets Manager 钥](manage_restore-secret.md)。

**EndSecretVersionDelete**  
在删除密钥版本时由 Secrets Manager 服务生成。有关更多信息，请参阅 [删除密 AWS Secrets Manager 钥](manage_delete-secret.md)。

**StartSecretVersionDelete**  
在 Secrets Manager 开始删除密钥版本时由 Secrets Manager 服务生成。有关删除密钥的信息，请参阅 [删除密 AWS Secrets Manager 钥](manage_delete-secret.md)。

**SecretVersionDeletion**  
在 Secrets Manager 删除已弃用的秘密版本时由 Secrets Manager 服务生成。有关更多信息，请参阅[密钥版本](whats-in-a-secret.md#term_version)。

## 可用于复制的日志条目
<a name="cloudtrail_log_entries_replication"></a>

除了生成与 Secrets Manager 操作有关的事件外，Secrets Manager 还会生成以下与复制有关的事件。这些事件具有 `"detail-type": ["AWS Service Event via CloudTrail"]`。

**ReplicationFailed**  
在复制失败时由 Secrets Manager 服务生成。有关复制密钥的更多信息，请参阅 [跨区域复制 AWS Secrets Manager 密钥](replicate-secrets.md)。

**ReplicationStarted**  
在 Secrets Manager 开始复制密钥时由 Secrets Manager 服务生成。有关复制密钥的更多信息，请参阅 [跨区域复制 AWS Secrets Manager 密钥](replicate-secrets.md)。

**ReplicationSucceeded**  
在成功复制密钥时由 Secrets Manager 服务生成。有关复制密钥的更多信息，请参阅 [跨区域复制 AWS Secrets Manager 密钥](replicate-secrets.md)。

## 有关轮换操作的日志条目
<a name="cloudtrail_log_entries_rotation"></a>

除了生成与 Secrets Manager 操作有关的事件外，Secrets Manager 还会生成以下与轮换有关的事件。这些事件具有 `"detail-type": ["AWS Service Event via CloudTrail"]`。

**RotationStarted**  
在 Secrets Manager 开始轮换密钥时由 Secrets Manager 服务生成。有关轮换的更多信息，请参阅 [轮换 AWS Secrets Manager 秘密](rotating-secrets.md)。

**RotationAbandoned**  
在 Secrets Manager 放弃轮换尝试并从密钥的某个现有版本删除 `AWSPENDING` 标签时由 Secrets Manager 服务生成。当您在轮换期间创建密钥的新版本时，Secrets Manager 会放弃轮换。有关轮换的更多信息，请参阅 [轮换 AWS Secrets Manager 秘密](rotating-secrets.md)。

**RotationFailed**  
在轮换失败时由 Secrets Manager 服务生成。有关轮换的更多信息，请参阅 [排除 AWS Secrets Manager 轮换故障](troubleshoot_rotation.md)。

**RotationSucceeded**  
在成功轮换密钥时由 Secrets Manager 服务生成。有关轮换的更多信息，请参阅 [轮换 AWS Secrets Manager 秘密](rotating-secrets.md)。

**TestRotationStarted**  
在开始测试轮换某个尚未计划立即轮换的密钥时由 Secrets Manager 服务生成。有关轮换的更多信息，请参阅 [轮换 AWS Secrets Manager 秘密](rotating-secrets.md)。

**TestRotationSucceeded**  
在成功测试轮换某个尚未计划立即轮换的密钥时由 Secrets Manager 服务生成。有关轮换的更多信息，请参阅 [轮换 AWS Secrets Manager 秘密](rotating-secrets.md)。

**TestRotationFailed**  
在测试轮换某个尚未计划立即轮换的密钥但轮换失败时由 Secrets Manager 服务生成。有关轮换的更多信息，请参阅 [排除 AWS Secrets Manager 轮换故障](troubleshoot_rotation.md)。