[AWS SAA-C03] AWS Secret Manager 정리

AWS 시크릿 매니저

  • AWS Secrets Manager는 애플리케이션, 서비스, IT 리소스에 액세스하는 데 필요한 비밀을 보호하는 데 도움이 됩니다.
  • 수명 주기 동안 데이터베이스 자격 증명, API 키 및 기타 비밀을 쉽게 교체, 관리 및 검색할 수 있습니다.
  • AWS KMS를 사용하여 관리되는 암호화 키로 시크릿을 암호화하여 시크릿을 보호합니다.
  • RDS, Redshift, DocumentDB에 대한 기본 통합을 통해 기본 시크릿 로테이션을 제공합니다.
  • API 키와 OAuth 토큰을 포함한 다른 유형의 시크릿으로 시크릿 로테이션을 확장하기 위해 Lambda 함수를 지원합니다.
  • AWS 클라우드, 써드파티 서비스, 온프레미스의 리소스에 대한 세분화된 액세스 제어와 중앙 집중식 시크릿 로테이션 감사를 위한 IAM 및 리소스 기반 정책을 지원합니다.
  • 여러 AWS 리전에서 시크릿 복제를 지원하여 다중 리전 애플리케이션 및 재해 복구 시나리오를 지원합니다.
  • VPC 인터페이스 엔드포인트를 사용한 프라이빗 액세스 지원

KMS가 포함된 Secrets Manager

  • 암호화
    • AWS KMS에 요청하여 KMS 키에서 새 데이터 키를 생성하여 보호된 비밀 데이터의 새 버전을 암호화합니다.
    • 봉투 암호화에 이 데이터 키를 사용합니다.
    • 암호화된 데이터 키를 보호된 비밀 데이터와 함께 저장합니다.
  • 복호화
    • 암호화된 데이터 키의 암호 해독을 AWS KMS에 요청합니다.
    • 일반 텍스트 데이터 키를 사용하여 보호된 비밀 데이터를 복호화합니다.
    • 데이터 키를 암호화되지 않은 형태로 저장하지 않으며, 사용 후에는 항상 데이터 키를 즉시 폐기합니다.

시크릿 매니저 로테이션

  • AWS Secrets Manager는 일정에 따라 데이터베이스 자격 증명을 로테이션할 수 있습니다.
  • Secrets Manager가 로테이션을 시작할 때
    • 로테이션을 시작하면 제공된 슈퍼 데이터베이스 자격 증명을 사용하여 동일한 권한이지만 다른 비밀번호를 가진 복제 사용자를 생성합니다.
    • 데이터베이스 자격 증명을 검색하는 데이터베이스 및 애플리케이션에 복제 사용자 정보를 전달합니다.
    • CloudWatch 이벤트와 통합하여 비밀을 회전할 때 알림을 보냅니다.
  • 자격 증명 회전은 이미 열려 있는 연결에는 영향을 미치지 않으므로 다시 인증하지 않습니다. 인증은 연결이 설정될 때 이루어집니다.
반응형