本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 記錄 AWS Secrets Manager 事件 AWS CloudTrail
<a name="monitoring-cloudtrail"></a>

AWS CloudTrail 會將 Secrets Manager 的所有 API 呼叫記錄為事件，包括來自 Secrets Manager 主控台的呼叫，以及用於輪換和秘密版本刪除的數個其他事件。如需 Secrets Manager 記錄中日誌項目的清單，請參閱 [CloudTrail 事件](cloudtrail_log_entries.md)。

您可以使用 CloudTrail 主控台檢視過去 90 天所記錄的事件。若要持續記錄您 AWS 帳戶中的事件，包括 Secrets Manager 的事件，請建立追蹤，以便 CloudTrail 將日誌檔案交付至 Amazon S3 儲存貯體。請參閱[為 AWS 您的帳戶建立追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)。您也可以設定 CloudTrail，以接收來自[多個 AWS 帳戶](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) 和 [AWS 區域](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) 的日誌檔案。

您可以設定其他 AWS 服務，以進一步分析和處理 CloudTrail 日誌中收集的資料。請參閱 [AWS 服務與 CloudTrail 日誌的整合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)。當 CloudTrail 發佈新的日誌檔案到您的 Amazon S3 儲存貯體時，您也會收到通知。請參閱[設定 CloudTrail 的 Amazon SNS 通知](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)。

**若要從 CloudTrail 日誌中擷取 Secrets Manager 事件 (主控台)**

1. 前往 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 開啟 CloudTrail 主控台。

1. 確保主控台指向事件發生的區域。主控台只會顯示所選區域中發生的事件。從主控台右上角的下拉式清單中選擇區域。

1. 在左側導覽窗格中，選擇 **Event history (事件歷史記錄)**。

1. 選擇 **Filter (篩選)** 標準和/或 **Time range (時間範圍)**，以協助找到您在尋找的事件。例如：

   1. 若要查看所有 Secrets Manager 事件，請針對**查詢屬性**選擇**事件來源**。然後，針對**輸入事件來源**，選擇 **secretsmanager.amazonaws.com**。

   1. 若要查看秘密的所有事件，請針對**查詢屬性**選擇**資源名稱**。然後，針對**輸入資源名稱**，輸入秘密的名稱。

1. 若要查看其他詳細資訊，請選擇事件旁的展開箭頭。若要查看所有可用的資訊，請選擇 **View event (檢視事件)**。

## AWS CLI
<a name="monitoring-cloudtrail_cli"></a>

**Example 從 CloudTrail 日誌擷取 Secrets Manager 事件**  
下列 [https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html) 範例會查詢 Secrets Manager 事件。  

```
aws cloudtrail lookup-events \
    --region us-east-1 \
    --lookup-attributes AttributeKey=EventSource,AttributeValue=secretsmanager.amazonaws.com
```

# AWS CloudTrail Secrets Manager 的項目
<a name="cloudtrail_log_entries"></a>

AWS Secrets Manager 會將所有 Secrets Manager 操作和其他輪換和刪除相關事件的項目寫入 AWS CloudTrail 日誌。如需如何對這些事件採取動作的相關資訊，請參閱 [使用 EventBridge 比對 Secrets Manager 事件](monitoring-eventbridge.md)。

**Topics**
+ [Secrets Manager 操作的日誌項目](#cloudtrail_log_entries_operations)
+ [要刪除的日誌項目](#cloudtrail_log_entries_deletion)
+ [複寫的日誌項目](#cloudtrail_log_entries_replication)
+ [要輪換的日誌項目](#cloudtrail_log_entries_rotation)

## Secrets Manager 操作的日誌項目
<a name="cloudtrail_log_entries_operations"></a>

呼叫 Secrets Manager 操作所產生的事件具有 `"detail-type": ["AWS API Call via CloudTrail"]`。

**注意**  
在 2024 年 2 月之前，某些 Secrets Manager 操作報告了包含秘密 ARN 的「aRN」而非「arn」的事件。如需詳細資訊，請參閱 [AWS re:Post](https://repost.aws/knowledge-center/secrets-manager-arn)。

以下是當您或服務透過 API、SDK 或 CLI 呼叫 Secrets Manager 操作時產生的 CloudTrail 項目。

**BatchGetSecretValue**  
由 [BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html) 操作產生。如需瞭解擷取秘密的相關資訊，請參閱 [從 取得秘密 AWS Secrets Manager](retrieving-secrets.md)。

**CancelRotateSecret**  
由 [CancelRotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CancelRotateSecret.html) 操作產生。如需輪換的相關資訊，請參閱[輪換 AWS Secrets Manager 秘密](rotating-secrets.md)。

**CreateSecret**  
由 [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html) 操作產生。如需瞭解建立秘密的相關資訊，請參閱 [使用 管理秘密 AWS Secrets Manager](managing-secrets.md)。

**DeleteResourcePolicy**  
由 [DeleteResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteResourcePolicy.html) 操作產生。如需許可的相關資訊，請參閱[的身分驗證和存取控制 AWS Secrets Manager](auth-and-access.md)。

**DeleteSecret**  
由 [DeleteSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteSecret.html) 操作產生。如需了解刪除秘密的相關資訊，請參閱[刪除 AWS Secrets Manager 秘密](manage_delete-secret.md)。

**DescribeSecret**  
由 [DescribeSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html) 操作產生。

**GetRandomPassword**  
由 [GetRandomPassword](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetRandomPassword.html) 操作產生。

**GetResourcePolicy**  
由 [GetResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html) 操作產生。如需許可的相關資訊，請參閱[的身分驗證和存取控制 AWS Secrets Manager](auth-and-access.md)。

**GetSecretValue**  
由 [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html) 和 [BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html) 操作產生。如需瞭解擷取秘密的相關資訊，請參閱 [從 取得秘密 AWS Secrets Manager](retrieving-secrets.md)。

**ListSecrets**  
由 [ListSecrets](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecrets.html) 操作產生。如需瞭解列出秘密的相關資訊，請參閱 [在 中尋找秘密 AWS Secrets Manager](manage_search-secret.md)。

**ListSecretVersionIds**  
由 [ListSecretVersionIds](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecretVersionIds.html) 操作產生。

**PutResourcePolicy**  
由 [PutResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html) 操作產生。如需許可的相關資訊，請參閱[的身分驗證和存取控制 AWS Secrets Manager](auth-and-access.md)。

**PutSecretValue**  
由 [PutSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutSecretValue.html) 操作產生。如需瞭解更新秘密的相關資訊，請參閱 [修改 AWS Secrets Manager 秘密](manage_update-secret.md)。

**RemoveRegionsFromReplication**  
由 [RemoveRegionsFromReplication](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RemoveRegionsFromReplication.html) 操作產生。如需複寫秘密的相關資訊，請參閱[跨區域複寫 AWS Secrets Manager 秘密](replicate-secrets.md)。

**ReplicateSecretToRegions**  
由 [ReplicateSecretToRegions](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html) 操作產生。如需複寫秘密的相關資訊，請參閱[跨區域複寫 AWS Secrets Manager 秘密](replicate-secrets.md)。

**RestoreSecret**  
由 [RestoreSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RestoreSecret.html) 操作產生。如需還原的相關資訊，請參閱[還原 AWS Secrets Manager 秘密](manage_restore-secret.md)。

**RotateSecret**  
由 [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html) 操作產生。如需輪換的相關資訊，請參閱[輪換 AWS Secrets Manager 秘密](rotating-secrets.md)。

**StopReplicationToReplica**  
由 [StopReplicationToReplica](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html) 操作產生。如需複寫秘密的相關資訊，請參閱[跨區域複寫 AWS Secrets Manager 秘密](replicate-secrets.md)。

**TagResource**  
由 [TagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_TagResource.html) 操作產生。如需瞭解標記秘密的相關資訊，請參閱 [在 中標記秘密 AWS Secrets Manager](managing-secrets_tagging.md)。

**UntagResource**  
由 [UntagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UntagResource.html) 操作產生。如需瞭解取消秘密標記的相關資訊，請參閱 [在 中標記秘密 AWS Secrets Manager](managing-secrets_tagging.md)。

**UpdateSecret**  
由 [UpdateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecret.html) 操作產生。如需了解更新秘密的相關資訊，請參閱[修改 AWS Secrets Manager 秘密](manage_update-secret.md)。

**UpdateSecretVersionStage**  
由 [UpdateSecretVersionStage](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecretVersionStage.html) 操作產生。如需版本階段的相關資訊，請參閱[秘密版本](whats-in-a-secret.md#term_version)。

**ValidateResourcePolicy**  
由 [ValidateResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ValidateResourcePolicy.html) 操作產生。如需許可的相關資訊，請參閱[的身分驗證和存取控制 AWS Secrets Manager](auth-and-access.md)。

## 要刪除的日誌項目
<a name="cloudtrail_log_entries_deletion"></a>

除了 Secrets Manager 操作的事件之外，Secrets Manager 還會產生下列與刪除相關的事件。這些事件具有 `"detail-type": ["AWS Service Event via CloudTrail"]`。

**CancelSecretVersionDelete**  
由 Secrets Manager 服務產生。如果您在具有多個版本的秘密上呼叫 `DeleteSecret`，然後呼叫 `RestoreSecret`，Secrets Manager 會針對所還原的各個密碼版本記錄這個事件。如需還原的相關資訊，請參閱[還原 AWS Secrets Manager 秘密](manage_restore-secret.md)。

**EndSecretVersionDelete**  
刪除機密版本時由 Secrets Manager 服務產生。如需詳細資訊，請參閱[刪除 AWS Secrets Manager 秘密](manage_delete-secret.md)。

**StartSecretVersionDelete**  
Secrets Manager 開始刪除機密版本時由 Secrets Manager 服務產生。如需瞭解刪除秘密的相關資訊，請參閱 [刪除 AWS Secrets Manager 秘密](manage_delete-secret.md)。

**SecretVersionDeletion**  
Secrets Manager 刪除淘汰的秘密版本時由 Secrets Manager 服務所產生。如需詳細資訊，請參閱[秘密版本](whats-in-a-secret.md#term_version)。

## 複寫的日誌項目
<a name="cloudtrail_log_entries_replication"></a>

除了 Secrets Manager 操作的事件之外，Secrets Manager 還會產生下列與複寫相關的事件。這些事件具有 `"detail-type": ["AWS Service Event via CloudTrail"]`。

**ReplicationFailed**  
複寫失敗時由 Secrets Manager 服務產生。如需複寫秘密的相關資訊，請參閱[跨區域複寫 AWS Secrets Manager 秘密](replicate-secrets.md)。

**ReplicationStarted**  
Secrets Manager 開始複寫秘密時由 Secrets Manager 服務產生。如需複寫秘密的相關資訊，請參閱[跨區域複寫 AWS Secrets Manager 秘密](replicate-secrets.md)。

**ReplicationSucceeded**  
成功複寫秘密時由 Secrets Manager 服務產生。如需複寫秘密的相關資訊，請參閱[跨區域複寫 AWS Secrets Manager 秘密](replicate-secrets.md)。

## 要輪換的日誌項目
<a name="cloudtrail_log_entries_rotation"></a>

除了 Secrets Manager 操作的事件之外，Secrets Manager 還會產生下列與輪換相關的事件。這些事件具有 `"detail-type": ["AWS Service Event via CloudTrail"]`。

**RotationStarted**  
Secrets Manager 開始輪換機密時由 Secrets Manager 服務產生。如需輪換的相關資訊，請參閱[輪換 AWS Secrets Manager 秘密](rotating-secrets.md)。

**RotationAbandoned**  
Secrets Manager 放棄嘗試輪換，並從現有的機密版本移除 `AWSPENDING` 標籤時由 Secrets Manager 服務產生。如果您在輪換期間建立新的秘密版本，Secrets Manager 便會放棄輪換。如需輪換的相關資訊，請參閱[輪換 AWS Secrets Manager 秘密](rotating-secrets.md)。

**RotationFailed**  
輪換失敗時由 Secrets Manager 服務產生。如需輪換的相關資訊，請參閱[對 AWS Secrets Manager 輪換進行故障診斷](troubleshoot_rotation.md)。

**RotationSucceeded**  
已成功輪換機密時由 Secrets Manager 服務產生。如需輪換的相關資訊，請參閱[輪換 AWS Secrets Manager 秘密](rotating-secrets.md)。

**TestRotationStarted**  
Secrets Manager 針對未排程立即輪換的機密開始測試輪換時由 Secrets Manager 服務產生。如需輪換的相關資訊，請參閱[輪換 AWS Secrets Manager 秘密](rotating-secrets.md)。

**TestRotationSucceeded**  
Secrets Manager 針對未排程立即輪換的機密成功測試輪換時由 Secrets Manager 服務產生。如需輪換的相關資訊，請參閱[輪換 AWS Secrets Manager 秘密](rotating-secrets.md)。

**TestRotationFailed**  
Secrets Manager 針對未排程立即輪換的機密測試輪換，且輪換失敗時由 Secrets Manager 服務產生。如需輪換的相關資訊，請參閱[對 AWS Secrets Manager 輪換進行故障診斷](troubleshoot_rotation.md)。