全部產品
Search
文件中心

Key Management Service:監控動態ECS憑據輪轉

更新時間:Jul 06, 2024

KMS憑據管家支援向CloudMonitor投遞動態ECS憑據輪轉事件,您可以通過CloudMonitor的控制台查詢輪轉事件、建立事件警示,從而實現事件警示、例外狀況事件自動化處理等需求。

查詢輪轉事件

  1. 登入CloudMonitor控制台
  2. 在左側導覽列,單擊事件監控 > 系統事件
  3. 系統事件頁面,單擊事件監控頁簽。
  4. 從下拉式清單中選擇Key Management Service,然後設定事件層級、事件名稱和查詢時間段。
  5. 在事件列表中找到目標事件,然後單擊詳情查詢事件詳細資料。

建立事件警示

您可以建立事件警示,及時瞭解動態ECS憑據輪轉情況,並自動處理例外狀況事件。例如:您可以監控動態ECS憑據輪轉失敗的事件,通過接入Function Compute,自動修複故障。

  1. 系統事件頁面,單擊事件警示規則頁簽,然後單擊建立警示規則
  2. 建立/修改事件警示面板,設定以下參數後,單擊確定
    配置項說明
    警示規則名稱警示規則的名稱。例如:secrets_rotation_failed或secrets_rotation_success。
    產品類型選擇Key Management Service
    事件類型警示事件的類型。取值:
    • 異常:僅對動態ECS憑據輪轉失敗事件進行警示。
    • Notification:僅對動態ECS憑據輪轉成功事件進行警示。
    說明 您可以同時選擇異常Notification,表示對所有動態ECS憑據輪轉事件進行警示。
    事件等級您需要訂閱的事件等級。取值:
    • 嚴重:當動態ECS憑據輪轉失敗時選擇該等級。
    • 資訊:當動態ECS憑據輪轉成功時選擇該等級。
    事件名稱選擇您需要消費的事件名稱。取值:
    • 託管憑據輪轉失敗:僅對動態ECS憑據輪轉失敗事件進行警示。
    • 託管憑據輪轉成功:僅對動態ECS憑據輪轉成功事件進行警示。
    說明 您可以同時選擇託管憑據輪轉失敗託管憑據輪轉成功,表示對所有動態ECS憑據輪轉事件進行警示。但建議您按照事件對業務的影響程度建立不同等級的事件通知,不建議同時選擇。
    關鍵詞過濾警示規則過濾的關鍵詞。取值:
    • 滿足包含上面任何一個關鍵詞:當事件內容中包含任何一個關鍵詞時,CloudMonitor會發送警示通知。

    • 滿足不包含上面任何一個關鍵詞:當事件內容中不包含任何一個關鍵詞時,CloudMonitor會發送警示通知。

    說明

    關於如何查看事件內容,請參見查看系統事件

    SQL FilterSQL過濾語句。

    資源範圍選擇全部資源。此時任何資源發生相關事件,都會按照配置發送事件通知。
    警示方式發生事件警示時的通知方式及訊息處理方式。
    • 警示通知:
      • 連絡人群組:預設設定為雲帳號警示連絡人
      • 通知方式
        • Critical(電話+簡訊+郵件+WebHook)
        • Warning(簡訊+郵件+WebHook)
        • Info(郵件+WebHook)
    • 訊息處理方式:您可以配置Message Service隊列Function ComputeURL回調(GET或POST)或Log Service,實現事件的自動化處理。
    通道沉默周期警示發生後未恢複正常,間隔多久重複發送一次警示通知。

警示通知內容

警示通知的格式為<資源類型>:<對資源執行的操作>:<執行結果>。當您為動態ECS憑據輪轉事件建立警示後,系統會根據輪轉情況為您發送事件警示通知。
  • Secret:RotateSecret:Failure:動態ECS憑據輪轉失敗事件。
    您可以從事件的content屬性中查看失敗原因(failureInfo欄位)等。範例程式碼如下:
    {
        "product": "KMS",
        "eventTime": "20180816T135935.689+0800",
        "level": "CRITICAL",
        "name": "Secret:RotateSecret:Failure",
        "regionId": "cn-hangzhou",
        "resourceId": "acs:kms:cn-hangzhou:188989715694****:secret/secretName",
        "status": "Failed",
        "content": {
            "eventId": "eventId",
            "secretName": "SecretName",
            "secretType": "ECS",
            "RotationEntityArn": "acs:kms:cn-hangzhou:188989715694****:secret/secretName",
            "rotationStatus": "Invalid",
            "rotationSubType": "Password",
            "failureInfo": {
                "errorCode": "Kms:ErrorCode",
                "errorMessage": "errorMessage"
            },
            "failureTime": "2012-03-12T05:55:36Z"
        },
        "ver": "1.0"
    }
  • Secret:RotateSecret:Success:動態ECS憑據輪轉成功事件。

    範例程式碼如下:

    {
        "product":"KMS",
        "instanceName":"secretId", 
        "level":"INFO",
        "name":"Secret:RotateSecret:Success",
        "regionId":"cn-hangzhou",
        "resourceId":"acs:kms:cn-hangzhou:188989715694****:secret/secretName",
        "status":"Normal",
           "content":{
          "eventId": "eventId",
          "secretName": "SecretName",
          "secretType": "ECS",
          "RotationEntityArn": "acs:kms:cn-hangzhou:188989715694****:secret/secretName",
          "rotationStatus": "Enabled",
          "secretSubType": "Password",
          "successTime": "2012-03-12T05:55:36Z"
        },
        "ver":"1.0"
    }