本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 配置 AWS Secrets Manager 和权限 在向发送警报之前 PagerDuty,必须安全地存储您的 PagerDuty 集成密钥并配置必要的权限。此过程包括在中创建密钥 AWS Secrets Manager,使用客户托管 AWS Key Management Service (AWS KMS) 密钥对其进行加密,以及向适用于 Prometheus 的 Amazon 托管服务授予访问该密钥及其加密密钥所需的权限。以下过程将指导您完成此配置过程的每个步骤。 **在 Secrets Manager 中为以下内容创建密钥 PagerDuty** 要 PagerDuty 用作警报接收器,必须将 PagerDuty集成密钥存储在 Secrets Manager 中。按照以下步骤进行操作: 1. 打开 [Secrets Manager 控制台](https://console.aws.amazon.com/secretsmanager/)。 1. 选择**存储新密钥**。 1. 对于**密钥类型**,请选择**其他密钥类型**。 1. 对于**密钥/值对**,请输入您的 PagerDuty集成密钥作为秘密值。这要么是您的 PagerDuty 集成中的路由密钥,要么是服务密钥。 1. 选择**下一步**。 1. 输入密钥的名称和描述,然后选择**下一步**。 1. 根据需要配置轮换设置,然后选择**下一步**。 1. 检查您的设置,然后选择**存储**。 1. 创建密钥后,记下它的 ARN。在配置警报管理器时,需要此信息。 **使用客户管理 AWS KMS 的密钥加密您的密钥** 您必须向 Amazon Managed Service for Prometheus 授予访问您的密钥及其加密密钥的权限: 1. **密钥资源策略**:在 [Secrets Manager 控制台](https://console.aws.amazon.com/secretsmanager/)中打开您的密钥。 1. 选择**资源权限**。 1. 选择**编辑权限**。 1. 添加以下策略语句。在语句中,*highlighted values*用您的特定值替换。 ``` { "Effect": "Allow", "Principal": { "Service": "aps.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:aps:aws-region:123456789012:workspace/WORKSPACE_ID" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ``` 1. 选择**保存**。 1. **KMS 密钥策略**:在[AWS KMS 控制台](https://console.aws.amazon.com/kms)中打开您的 AWS KMS 密钥。 1. 选择**密钥策略**。 1. 选择**编辑**。 1. 添加以下策略语句。在语句中,*highlighted values*用您的特定值替换。 ``` { "Effect": "Allow", "Principal": { "Service": "aps.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:aps:aws-region:123456789012:workspace/WORKSPACE_ID" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ``` 1. 选择**保存**。 **后续步骤**:继续探讨下一个主题,即[配置警报管理器以向其发送警报 PagerDuty](AMP-alertmanager-pagerduty-configure-alertmanager.md)。