本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 尋找未輪換的秘密 您可以使用 AWS Config 來評估秘密,以查看它們輪換是否符合您的標準。您可以使用 AWS Config 規則來定義秘密的內部安全與合規要求。然後, AWS Config 可以識別不符合您規則的秘密。您也可以追蹤秘密中繼資料、輪換組態、用於秘密加密的 KMS 金鑰、Lambda 輪換功能以及與秘密相關聯之標籤的變更。 如果您的組織中有多個 AWS 帳戶 和 AWS 區域 的秘密,您可以彙總該組態和合規資料。如需詳細資訊,請參閱[多帳戶多區域資料彙總](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)。 **評估秘密是否正在輪換** 1. 遵循[使用 AWS Config 規則評估資源](https://docs.aws.amazon.com/config/latest/developerguide/evaluating-your-resources.html)的指示,並從下列規則中選擇: + `[secretsmanager-rotation-enabled-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)` – 檢查是否為 Secrets Manager 中存放的秘密設定了輪換。 + `[secretsmanager-scheduled-rotation-success-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)` – 檢查上次成功輪換是否在設定的輪換頻率範圍內。檢查的最低頻率為每日。 + `[secretsmanager-secret-periodic-rotation](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)` – 檢查是否在指定的天數內輪換秘密。 1. 或者,設定 AWS Config 以在秘密不合規時通知您。如需詳細資訊,請參閱[AWS Config 傳送至 Amazon SNS 主題的通知](https://docs.aws.amazon.com/config/latest/developerguide/notifications-for-AWS-Config.html)。