すべてのプロダクト
Search
ドキュメントセンター

:動的ApsaraDB RDSシークレットのローテーションのモニタリング

最終更新日:Dec 18, 2024

Secrets Managerは、動的ApsaraDB RDSシークレットのローテーションイベントをCloudMonitorに配信できます。 CloudMonitorコンソールでローテーションイベントを照会し、イベントトリガーのアラートルールを作成できます。 これにより、イベントのアラート通知を受信し、イベント処理プロセスを自動化できます。

回転イベントの照会

  1. CloudMonitorコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、イベントセンター > Systemイベントを選択します。

  3. [イベントモニタリング] タブで、[すべての製品] ドロップダウンリストから [キー管理サービス (KMS)] を選択します。 次に、イベントのアラートレベル、イベント名、およびクエリする時間範囲を設定します。

  4. 表示するシステムイベントを検索し、アクション列の詳細をクリックします。

    イベントの詳細はJSON形式で表示されます。

イベントトリガーアラートルールの作成

イベントトリガーのアラートルールを作成して、動的ApsaraDB RDSシークレットのローテーションを監視し、イベント処理プロセスを自動化できます。 たとえば、動的ApsaraDB RDSシークレットのローテーションの失敗を監視し、Function Computeを使用して自動的に失敗を解決できます。

  1. CloudMonitorコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、[イベントモニタリング] > [システムイベント] を選択します。

  3. イベントモニタリングタブで、アラートルールとして保存をクリックします。

  4. [アラートルールの作成] をクリックします。

  5. [イベントトリガーアラートルールの作成 /変更] パネルで、パラメーターを設定し、[OK] をクリックします。

    パラメーター

    説明

    アラートルール名

    イベントでトリガーされるアラートルールの名前。 例: secrets_rotation_failedまたはsecrets_rotation_success。

    製品タイプ

    イベントを管理するサービス。 [キー管理サービス (KMS)] を選択します。

    イベントタイプ

    イベントのタイプ。 有効な値:

    • 例外: CloudMonitorは、動的ApsaraDB RDSシークレットのローテーションに失敗した場合にのみアラート通知を送信します。

    • 通知: CloudMonitorは、動的ApsaraDB RDSシークレットのローテーションが成功した場合にのみアラート通知を送信します。

    • すべてのタイプ: CloudMonitorは、動的ApsaraDB RDSシークレットのすべてのローテーションイベントに対してアラート通知を送信します。

    イベントレベル

    イベントのアラートレベル。 有効な値:

    • CRITICAL: 動的ApsaraDB RDSシークレットのローテーションに失敗する場合、このオプションを選択します。

    • INFO: 動的ApsaraDB RDSシークレットのローテーションを成功させるには、このオプションを選択します。

    イベント名

    イベント名。 有効な値:

    • Secret:RotateSecret: 失敗: CloudMonitorは、動的ApsaraDB RDSシークレットのローテーションの失敗に対してのみアラート通知を送信します。

    • Secret:RotateSecret:Success: CloudMonitorは、動的ApsaraDB RDSシークレットのローテーションが成功した場合にのみアラート通知を送信します。

    • すべてのイベント: CloudMonitorは、動的ApsaraDB RDSシークレットのすべてのローテーションイベントに対してアラート通知を送信します。

      説明

      [すべてのイベント] は選択しないことを推奨します。 また、ビジネスに対するさまざまなイベントの影響に基づいて、さまざまなイベントトリガーアラートルールを作成することをお勧めします。

    キーワードフィルタリング

    アラートルールのフィルタリングに使用されるキーワード。 有効な値:

    • キーワードが含まれています: 指定されたキーワードのいずれかがアラートルールに含まれている場合、アラート通知は送信されません。

    • キーワードが含まれていません: 指定されたキーワードが含まれていない場合、アラート通知は送信されません。

    SQLフィルター

    アラートルールのフィルタリングに使用されるSQL文。

    リソース

    管理するリソース。 [全リソース] を選択します。 CloudMonitorは、設定に基づいてすべてのリソースのイベントに関するアラート通知を送信します。

    通知方法

    イベントトリガーアラートが生成されたときの通知方法とメッセージ処理方法。

    • アラート通知:

      • 連絡先グループ: デフォルト値はAlibaba Cloudアカウント内のアラート連絡先です。

      • 通知方法

        • クリティカル (電話 + テキストメッセージ + メール + Webhook)

        • 警告 (SMS + テキストメッセージ + Webhook)

        • 情報 (メール + Webhook)

    • メッセージ処理方法: イベント処理プロセスを自動化するには、Simple Message Queue (旧MNS)Function ComputeURLコールバックLog Serviceを選択します。

    ミュート用

    CloudMonitorがアラート通知を送信する間隔。 通知が送信されるメトリックがまだしきい値を超える場合、別のアラート通知が送信されます。

アラート通知コンテンツ

アラート通知の形式は、<リソースタイプ >:< リソースで実行された操作 >:< 結果> です。 動的ApsaraDB RDSシークレットのローテーションイベントに対してイベントトリガーのアラートルールを作成すると、システムはローテーション結果に基づいてアラート通知を送信します。

  • Secret:RotateSecret: 失敗: 動的ApsaraDB RDSシークレットのローテーションに失敗しました。

    イベントのcontentフィールドで、動的ApsaraDB RDSシークレットのローテーションに関する情報を表示できます。 この情報には、シークレットに関連付けられたApsaraDB RDSインスタンスのIDを示すRotationEntityArnフィールドと、障害の原因を示すfailureInfoフィールドが含まれます。 例:

    {
        "product": "KMS",
        "eventTime": "20180816T135935.689+0800",
        "level": "CRITICAL",
        "name": "Secret:RotateSecret:Failure",
        "regionId": "cn-hangzhou",
        "resourceId": " acs:kms:cn-hangzhou:123456789:secret/secretId",
        "status": "Failed",
        "content": {
            "eventId": "eventId",
            "secretName": "SecretName",
            "secretType": "Rds",
            "RotationEntityArn": "acs:rds:$regionId:$accountId:dbinstance/$dbinstanceid",
            "rotationStatus": "Invalid",
            "rotationSubType": "SingleUser",
            "failureInfo": {
                "errorCode": "Kms:ErrorCode",
                "errorMessage": "errorMessage"
            },
            "failureTime": "2012-03-12T05:55:36Z"
        },
        "ver": "1.0"
    }
  • Secret:RotateSecret:Success: 動的ApsaraDB RDSシークレットのローテーションが成功しました。

    例:

    {
        "product":"KMS",
        "instanceName":"secretId", 
        "level":"INFO",
        "name":"Secret:RotateSecret:Success",
        "regionId":"cn-hangzhou",
        "resourceId":" acs:kms:cn-hangzhou:123456789:secret/secretId",
        "status":"Normal",
           "content":{
          "eventId": "eventId",
          "secretName": "SecretName",
          "secretType": "Rds",
          "RotationEntityArn": "acs:rds:$regionId:$accountId:dbinstance/$dbinstanceid",
          "rotationStatus": "Enabled",
          "secretSubType": "SingleUser",
          "successTime": "2012-03-12T05:55:36Z"
        },
        "ver":"1.0"
    }