Secrets Managerは、動的ECS (Elastic Compute Service) シークレットのローテーションイベントをCloudMonitorに配信できます。 CloudMonitorコンソールでローテーションイベントを照会し、イベントトリガーのアラートルールを作成できます。 これにより、イベントのアラート通知を受信し、イベント処理プロセスを自動化できます。

回転イベントの照会

  1. CloudMonitor コンソールにログインします。
  2. 左側のナビゲーションウィンドウで、[イベントモニタリング] をクリックします。
  3. イベントモニタリングページで、クエリイベントタブをクリックします。
  4. ドロップダウンリストから [キー管理サービス] を選択し、クエリするイベントタイプ、イベント名、および期間を設定します。
  5. イベントリストで表示するイベントを検索し、[操作] 列の [詳細の表示] をクリックしてイベントの詳細を表示します。

イベントトリガーアラートルールの作成

イベントトリガー型のアラートルールを作成して、動的なECSシークレットのローテーションを監視し、イベント処理プロセスを自動化することができます。 たとえば、動的ECSシークレットのローテーションの失敗を監視し、Function Computeを使用して自動的に失敗を解決できます。

  1. [イベントモニタリング] ページで、[アラートルール] タブをクリックします。 次に、[イベントアラートの作成] をクリックします。
  2. Create / Modify Event Alertパネルで、次の表に示すパラメータを設定します。
    パラメーター 説明
    Alert Rule Name アラートルールの名前です。 例: secrets_rotation_failedまたはsecrets_rotation_success。
    Event Type [システムイベント] を選択します。
    製品タイプ [キー管理サービス] を選択します。
    Event Type アラートイベントのタイプ。 設定可能な値は以下のとおりです。
    • 例外: CloudMonitorは、動的ECSシークレットのローテーションの失敗に対してのみアラート通知を送信します。
    • 通知: CloudMonitorは、動的ECSシークレットのローテーションが成功した場合にのみアラート通知を送信します。
    • すべてのタイプ: CloudMonitorは、動的ECSシークレットのすべてのローテーションイベントに対してアラート通知を送信します。
    イベントレベル 購読するイベントのレベル。 設定可能な値は以下のとおりです。
    • CRITICAL: 動的ECSシークレットのローテーションの失敗をサブスクライブするには、このレベルを選択します。
    • INFO: 動的ECSシークレットのローテーションを正常にサブスクライブするには、このレベルを選択します。
    イベント名 消費するイベント名を選択します。 設定可能な値は以下のとおりです。
    • Secret:RotateSecret: 失敗: CloudMonitorは、動的ECSシークレットのローテーションの失敗に対してのみアラート通知を送信します。
    • Secret:RotateSecret:Success: CloudMonitorは、動的ECSシークレットのローテーションが成功した場合にのみアラート通知を送信します。
    • すべてのイベント: CloudMonitorは、動的ECSシークレットのすべてのローテーションイベントに対してアラート通知を送信します。
      [すべてのイベント] は選択しないことを推奨します。 ビジネスに対するさまざまなイベントの影響に基づいて、さまざまなイベントトリガーアラートルールを作成することをお勧めします。
    リソース範囲 [全リソース] を選択します。 CloudMonitorは、設定に基づいてすべてのリソースのイベントに関するアラート通知を送信します。
    アラート通知
    • 連絡先グループ

      デフォルトでは、デフォルトの連絡先グループが選択されています。

    • 通知方法

      [情報 (メールID + DingTalkロボット)] を選択します。

    Message processing method Message Service (MNS) キュー、Function Compute、GETまたはPOST URLコールバック、Log Serviceを設定して、イベント処理プロセスを自動化できます。
  3. [OK] をクリックします。

Alert notification content

アラート通知の形式は、<リソースタイプ >:< リソースに対して実行された操作 >:< 結果> です。 動的ECSシークレットのローテーションイベントに対するイベントトリガーのアラートルールを作成すると、ローテーションの結果に基づいてアラート通知が送信されます。
  • Secret:RotateSecret:Failure: ダイナミックECSシークレットのローテーションに失敗したこと。
    イベントのcontentフィールドで、動的ECSシークレットのローテーションに関する情報を表示できます。 たとえば、failureInfoフィールドを表示することで、失敗の原因を取得できます。 サンプルコード:
    {
    "product": "KMS" 、
    "eventTime": "20180816T135935.689 + 0800" 、
    "level": "CRITICAL",
    "name": "Secret:RotateSecret:Failure",
    "regionId": "cn-hangzhou",
    "resourceId": "acs:kms:cn-hangzhou:188989715694 ****:secret/secretName" 、
    "status": "Failed",
    "content": {
        "eventId": "eventId" 、
        "secretName": "SecretName" 、
        "secretType": "ECS",
        "RotationEntityArn": "acs:kms:cn-hangzhou:188989715694 ****:secret/secretName" 、
        "rotationStatus": "Invalid" 、
        "rotationSubType": "パスワード" 、
        "failureInfo": {
            "errorCode": "Kms:ErrorCode" 、
            "errorMessage": "errorMessage"
        },
        "failureTime": "2012-03-12T05:55:36Z"
    },
    "ver": "1.0"
}
  • Secret:RotateSecret:Success: 動的ECSシークレットのローテーションが成功しました。

    サンプルコード:

    {
    "product":"KMS" 、
    "instanceName":"secretId" 、 
    "レベル":"INFO" 、
    "name":"Secret:RotateSecret:Success" 、
    "regionId":"cn-hangzhou" 、
    "resourceId":"acs:kms:cn-hangzhou:188989715694 ****:secret/secretName" 、
    "status":"Normal" 、
       "content":{
      "eventId": "eventId" 、
      "secretName": "SecretName" 、
      "secretType": "ECS" 、
      "RotationEntityArn": "acs:kms:cn-hangzhou:188989715694 ****:secret/secretName" 、
      "rotationStatus": "Enabled" 、
      "secretSubType": "パスワード" 、
      "successTime": "2012-03-12T05:55:36Z"
    },
    "ver":"1.0"
}