Configuración y Secretos

Los secretos almacenados en AWS Secrets Manager cuestan $0.40 por secreto al mes, independientemente de si se utilizan activamente. Con el tiempo, los secretos creados para aplicaciones desmanteladas, credenciales rotadas que nunca se limpiaron o pruebas puntuales pueden acumularse en cargos recurrentes significativos.

Permisos Requeridos: secretsmanager:ListSecrets.

AWS Doctor identifica los secretos que no han sido accedidos dentro de una ventana de tiempo configurable para que pueda limpiarlos.

Secrets Manager

Lógica de Detección

Un secreto se marca como no utilizado si cumple con cualquiera de los siguientes criterios:

Nunca accedido: El campo LastAccessedDate es nulo — el secreto nunca ha sido recuperado desde su creación.
Obsoleto: La LastAccessedDate es anterior al umbral de inactividad configurado (por defecto: 90 días).

Puede ajustar el umbral de inactividad utilizando el flag --secrets-idle-days (por ejemplo, --secrets-idle-days 60 para marcar secretos no accedidos en los últimos 60 días).

Los secretos réplica (donde PrimaryRegion difiere de la región actual) se omiten automáticamente para evitar el doble conteo en configuraciones multi-región.

Cómo Ejecutar

Para ejecutar la detección de desperdicio de Secrets Manager de forma individual:

aws-doctor waste secrets-manager

Remediación

Si un secreto se marca como no utilizado:

Verificar: Confirme que el secreto ya no es referenciado por ninguna aplicación, función Lambda o pipeline de CI/CD.
Eliminar: Elimine el secreto a través de la consola de AWS o la CLI. Secrets Manager soporta una ventana de recuperación (por defecto 30 días), por lo que la eliminación es reversible.
Rotar: Si el secreto aún es necesario pero simplemente fue olvidado, considere habilitar la rotación automática para mantenerlo actualizado.

Machine Learning Reportes PDF