Secrets Managerは、動的ECS (Elastic Compute Service) シークレットのローテーションイベントをCloudMonitorに配信できます。 CloudMonitorコンソールでローテーションイベントを照会し、イベントトリガーのアラートルールを作成できます。 これにより、イベントのアラート通知を受信し、イベント処理プロセスを自動化できます。
回転イベントの照会
CloudMonitorコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[システムイベント] ページで、[イベントモニタリング] タブをクリックします。
[すべての製品] ドロップダウンリストから [キー管理サービス (KMS)] を選択します。 次に、イベントのアラートレベル、イベントの名前、および照会する時間範囲を指定します。
イベントリストで照会するイベントを検索し、右端の列の [詳細] をクリックします。
イベントトリガーアラートルールの作成
イベントトリガーのアラートルールを作成して、動的ECSシークレットのローテーションを監視し、イベント処理プロセスを自動化できます。 たとえば、動的ECSシークレットのローテーションの失敗を監視し、Function Computeを使用して自動的に失敗を解決できます。
[システムイベント] ページで、[イベントトリガーのアラートルール] タブをクリックし、[アラートルールの作成] をクリックします。
[イベントトリガーアラートルールの作成 /変更] パネルで、パラメーターを設定し、[OK] をクリックします。
パラメーター
説明
アラートルール名
イベントでトリガーされるアラートルールの名前。 例: secrets_rotation_failedまたはsecrets_rotation_success。
製品タイプ
イベントトリガーアラートルールを作成するサービス。 [キー管理サービス (KMS)] を選択します。
イベントタイプ
イベントのタイプ。 有効な値:
例外: この値を選択すると、CloudMonitorは動的ECSシークレットのローテーションの失敗に対してのみアラート通知を送信します。
通知: この値を選択すると、CloudMonitorは動的ECSシークレットのローテーションが成功した場合にのみアラート通知を送信します。
説明[例外] と [通知] の両方を選択した場合、CloudMonitorは、ローテーションが成功するか失敗するかに関係なく、動的ECSシークレットのローテーションごとにアラート通知を送信します。
イベントレベル
イベントのレベル。 有効な値:
CRITICAL: 動的ECSシークレットのローテーションに失敗した場合、この値を選択します。
INFO: 動的ECSシークレットのローテーションを成功させるには、この値を選択します。
イベント名
イベント名。 有効な値:
Secret:RotateSecret: 失敗: 動的ECSシークレットのローテーションに失敗した場合、この値を選択します。
Secret:RotateSecret:Success: 動的ECSシークレットのローテーションを成功させるには、この値を選択します。
説明Secret:RotateSecret:FailureとSecret:RotateSecret:Successの両方を選択した場合、CloudMonitorは、ローテーションが成功するか失敗するかに関係なく、動的ECSシークレットのローテーションごとにアラート通知を送信します。 ビジネスに対するイベントの影響に基づいて、さまざまなアラートレベルでイベントトリガーアラートルールを作成することを推奨します。 また、両方の値を選択しないことをお勧めします。
キーワードフィルタリング
アラートルールのフィルタリングに使用されるキーワード。 有効な値:
任意のキーワードが含まれています: 指定されたキーワードのいずれかがアラートルールに含まれている場合、アラート通知が送信されます。
キーワードが含まれていません: 指定されたキーワードが1つも含まれていない場合、アラート通知が送信されます。
SQLフィルター
アラートルールのフィルタリングに使用されるSQL文。
リソース
管理するリソース。 [全リソース] を選択します。 この場合、CloudMonitorは、設定に基づいてすべてのリソースの指定されたイベントに対するアラート通知を送信します。
通知方法
イベントトリガーアラートが生成されるときに使用される通知方法とメッセージ処理方法。
アラート通知:
連絡先グループ: 指定したアラート連絡先グループを選択します。
通知方法:
クリティカル (電話 + テキストメッセージ + メール + Webhook)
警告 (SMS + テキストメッセージ + Webhook)
情報 (メール + Webhook)
メッセージ処理方法: イベント処理プロセスを自動化するには、Simple Message Queue (旧MNS) 、Function Compute、URL Callback、またはLog Serviceを選択します。
ミュート用
アラートがミュートされている期間。 このパラメーターは、アラートがクリアされない場合に、指定された連絡先にアラート通知が再度送信される間隔を指定します。
アラート通知コンテンツ
アラート通知の形式は、<リソースタイプ >:< リソースに対して実行された操作 >:< 結果> です。 動的ECSシークレットのローテーションイベントに対してイベントトリガーのアラートルールを作成すると、システムはローテーション結果に基づいてアラート通知を送信します。
Secret:RotateSecret: 失敗: 動的ECSシークレットのローテーションに失敗しました。イベントの
contentフィールドで、動的ECSシークレットのローテーションに関する情報を表示できます。 たとえば、failureInfoフィールドを表示することで、失敗の原因を取得できます。 サンプルコード:{ "product": "KMS", "eventTime": "20180816T135935.689+0800", "level": "CRITICAL", "name": "Secret:RotateSecret:Failure", "regionId": "cn-hangzhou", "resourceId": "acs:kms:cn-hangzhou:188989715694****:secret/secretName", "status": "Failed", "content": { "eventId": "eventId", "secretName": "SecretName", "secretType": "ECS", "RotationEntityArn": "acs:kms:cn-hangzhou:188989715694****:secret/secretName", "rotationStatus": "Invalid", "rotationSubType": "Password", "failureInfo": { "errorCode": "Kms:ErrorCode", "errorMessage": "errorMessage" }, "failureTime": "2012-03-12T05:55:36Z" }, "ver": "1.0" }Secret:RotateSecret:Success: 動的ECSシークレットのローテーションに成功しました。サンプルコード:
{ "product":"KMS", "instanceName":"secretId", "level":"INFO", "name":"Secret:RotateSecret:Success", "regionId":"cn-hangzhou", "resourceId":"acs:kms:cn-hangzhou:188989715694****:secret/secretName", "status":"Normal", "content":{ "eventId": "eventId", "secretName": "SecretName", "secretType": "ECS", "RotationEntityArn": "acs:kms:cn-hangzhou:188989715694****:secret/secretName", "rotationStatus": "Enabled", "secretSubType": "Password", "successTime": "2012-03-12T05:55:36Z" }, "ver":"1.0" }