AWS Systems Manager Incident Manager 는 더 이상 신규 고객에게 공개되지 않습니다. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [AWS Systems Manager Incident Manager 가용성 변경](https://docs.aws.amazon.com/incident-manager/latest/userguide/incident-manager-availability-change.html)을 참조하세요.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Secrets Manager 보안 암호에 PagerDuty 액세스 자격 증명 저장
<a name="integrations-pagerduty-secret"></a>

대응 계획을 위해 PagerDuty와의 통합을 활성화한 후 Incident Manager는 다음과 같은 방식으로 PagerDuty를 사용합니다.
+ Incident Manager에서 새 인시던트를 만들면 Incident Manager가 PagerDuty에 해당 인시던트를 생성합니다.
+ PagerDuty에서 만든 페이징 워크플로 및 에스컬레이션 정책은 PagerDuty 환경에서 사용됩니다. 하지만 Incident Manager는 PagerDuty 구성을 가져오지 않습니다.
+ Incident Manager는 타임라인 이벤트를 PagerDuty에 인시던트에 대한 메모로 최대 2,000개의 메모까지 게시합니다.
+ Incident Manager에서 관련 인시던트를 해결할 때 PagerDuty 인시던트를 자동으로 해결하도록 선택할 수 있습니다.

Incident Manager를 PagerDuty와 통합하려면 먼저에서 PagerDuty 보안 인증 AWS Secrets Manager 정보가 포함된 보안 암호를 생성해야 합니다. 이를 통해 Incident Manager는 PagerDuty 서비스와 통신할 수 있습니다. 그런 다음 Incident Manager에서 생성하는 대응 계획에 PagerDuty 서비스를 포함시킬 수 있습니다.

Secrets Manager에서 생성하는 이 암호에는 적절한 JSON 형식으로 다음이 포함되어야 합니다.
+ PagerDuty 계정의 API 키. 일반 액세스 REST API 키 또는 사용자 토큰 REST API 키 중 하나를 사용할 수 있습니다.
+ PagerDuty 하위 도메인의 유효한 사용자 이메일 주소입니다.
+ 하위 도메인을 배포한 PagerDuty 서비스 리전.
**참고**  
PagerDuty 하위 도메인의 모든 서비스는 동일한 서비스 리전에 배포됩니다.

**사전 조건**  
Secrets Manager에서 암호를 생성하기 전에 다음 요구 사항을 충족해야 합니다.

**KMS 키**  
()에서 생성한 *고객 관리형 키*로 생성한 보안 암호를 암호화해야 합니다 AWS Key Management Service AWS KMS. PagerDuty 자격 증명을 저장하는 암호를 만들 때 이 키를 지정합니다.  
Secrets Manager는 로 보안 암호를 암호화하는 옵션을 제공 AWS 관리형 키하지만이 암호화 모드는 지원되지 않습니다.
고객 관리 키는 다음 요구 사항을 충족해야 합니다.  
+ **키 유형**: **대칭**을 선택합니다.
+  **키 사용**: **암호화 및 암호 해독**을 선택합니다.
+ **리전:** 응답 계획을 여러에 복제하려면 **다중 리전 키를** 선택해야 AWS 리전합니다.

   
**키 정책**  
대응 계획을 구성하는 사용자는 키의 리소스 기반 정책에 대한 `kms:GenerateDataKey` 및 `kms:Decrypt` 권한이 있어야 합니다. `ssm-incidents.amazonaws.com` 서비스 보안 주체는 키의 리소스 기반 정책에 대한 `kms:GenerateDataKey` 및 `kms:Decrypt` 권한을 가지고 있어야 합니다.
다음 정책은 이러한 권한을 보여줍니다. {{user input placeholder}}를 사용자의 정보로 바꿉니다.    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "key-consolepolicy-3",
    "Statement": [
        {
            "Sid": "Enable IAM user permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{{111122223333}}:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow creator of response plan to use the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "{{IAM_ARN_of_principal_creating_response_plan}}"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow Incident Manager to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm-incidents.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        }
    ]
}
```
고객 관리형 키 생성에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*에서 [대칭 암호화 KMS 키 생성](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)을 참조하세요. AWS KMS 키에 대한 자세한 내용은 [AWS KMS 개념](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)을 참조하세요.  
기존 고객 관리형 키가 이전 요구 사항을 모두 충족하는 경우 정책을 편집하여 이러한 권한을 추가할 수 있습니다. 고객 관리형 키의 정책 업데이트에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [키 정책 변경](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)을 참조하세요.  
조건 키를 지정하여 액세스를 더 제한할 수 있습니다. 예를 들어 다음 정책은 미국 동부(오하이오) 리전 (us-east-2) 에서 Secrets Manager를 통한 액세스만 허용합니다.  

```
{
    "Sid": "Enable IM Permissions",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm-incidents.amazonaws.com"
    },
    "Action": ["kms:Decrypt", "kms:GenerateDataKey*"],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com"
        }
    }
}
```

**`GetSecretValue` 권한**  
대응 계획을 생성하는 IAM ID(사용자, 역할 또는 그룹)에 IAM 권한 `secretsmanager:GetSecretValue`가 있어야 합니다.

**AWS Secrets Manager 보안 암호에 PagerDuty 액세스 자격 증명을 저장하려면**

1. *AWS Secrets Manager 사용 설명서*의 [AWS Secrets Manager 보안 암호 생성](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)에서 3a단계의 단계를 따릅니다.

1. 3b단계에서 **키/값 쌍**에 대해 다음을 수행하십시오.
   + **일반 텍스트** 탭을 선택합니다.
   + 상자의 기본 내용을 다음 JSON 구조로 바꿉니다.

     ```
     {
         "pagerDutyToken": "{{pagerduty-token}}",
         "pagerDutyServiceRegion": "{{pagerduty-region}}",
         "pagerDutyFromEmail": "{{pagerduty-email}}"
     }
     ```
   + 붙여넣은 JSON 샘플에서 {{플레이스홀더 값}} 값을 다음과 같이 바꿉니다.
     + {{pagerduty-token}}: PagerDuty 계정의 일반 액세스 REST API 키 또는 사용자 토큰 REST API 키 값입니다.

       관련 정보는 *PagerDuty 기술 자료*의 [API 액세스 키](https://support.pagerduty.com/docs/api-access-keys)를 참조하세요.
     + {{pagerduty-region}}: PagerDuty 하위 도메인을 호스팅하는 PagerDuty 데이터 센터의 서비스 리전입니다.

       관련 정보는 *PagerDuty 기술 자료*의 [서비스 리전](https://support.pagerduty.com/docs/service-regions)을 참조하세요.
     + {{pagerduty-email}}: PagerDuty 하위 도메인에 속하는 사용자의 유효한 이메일 주소입니다.

       관련 정보는 *PagerDuty 기술 자료*의 [사용자 관리](https://support.pagerduty.com/docs/users)를 참조하세요.

     다음 예제는 필수 PagerDuty 자격 증명이 포함된 완성된 JSON 암호를 보여줍니다.

     ```
     {
         "pagerDutyToken": "y_NbAkKc66ryYEXAMPLE",
         "pagerDutyServiceRegion": "US",
         "pagerDutyFromEmail": "JohnDoe@example.com"
     }
     ```

1. 3c단계에서 **암호화 키**의 경우 **사전 요구 사항** 섹션에 나열된 요구 사항을 충족하는 생성된 고객 관리형 키를 선택합니다.

1. 4c단계에서 **리소스 권한**에 대해 다음을 수행하십시오.
   + **리소스 권한**을 확장합니다.
   + **권한 편집**을 선택합니다.
   + 정책 상자의 기본 내용을 다음 JSON 구조로 바꿉니다.

     ```
     {
         "Effect": "Allow",
         "Principal": {
             "Service": "ssm-incidents.amazonaws.com"
         },
         "Action": "secretsmanager:GetSecretValue",
         "Resource": "*"
     }
     ```
   + **저장**을 선택합니다.

1. 응답 계획을 두 개 이상의 AWS 리전으로 복제했다면 4d단계에서 **암호 복제**에 대해 다음을 수행하십시오. 
   + **암호 복제**를 확장합니다.
   + **AWS 리전**에서 응답 계획을 복제했던 리전을 선택합니다.
   + **암호화 키**의 경우 **사전 요구 사항** 섹션에 나열된 요구 사항을 충족하는 이 리전에서 생성했거나 해당 리전에 복제된 고객 관리 키를 선택합니다.
   + 각 추가에 대해 리전 AWS 리전추가를 선택하고 리전 이름과 고객 관리형 키를 선택합니다. **** 

1. *AWS Secrets Manager 사용 설명서*의 [AWS Secrets Manager 보안 암호 생성](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)의 나머지 단계를 완료합니다.

PagerDuty 서비스를 Incident Manager 인시던트 워크플로에 추가하는 방법에 대한 자세한 내용은 [대응 계획 생성](response-plans.md#response-plans-create) 항목의 [PagerDuty 서비스를 대응 계획에 통합](response-plans.md#anchor-pagerduty)을 참조하세요.

**관련 정보**

[PagerDuty 및 AWS Systems Manager Incident Manager를 사용하여 인시던트 대응을 자동화하는 방법](https://aws.amazon.com/blogs/mt/how-to-automate-incident-response-with-pagerduty-and-aws-systems-manager-incident-manager/)(AWS 클라우드 운영 및 마이그레이션 블로그)

*AWS Secrets Manager 사용 설명서*의 [AWS Secrets Manager에서 암호 암호화](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)