AWS 시크릿 매니저
- AWS Secrets Manager는 애플리케이션, 서비스, IT 리소스에 액세스하는 데 필요한 비밀을 보호하는 데 도움이 됩니다.
- 수명 주기 동안 데이터베이스 자격 증명, API 키 및 기타 비밀을 쉽게 교체, 관리 및 검색할 수 있습니다.
- AWS KMS를 사용하여 관리되는 암호화 키로 시크릿을 암호화하여 시크릿을 보호합니다.
- RDS, Redshift, DocumentDB에 대한 기본 통합을 통해 기본 시크릿 로테이션을 제공합니다.
- API 키와 OAuth 토큰을 포함한 다른 유형의 시크릿으로 시크릿 로테이션을 확장하기 위해 Lambda 함수를 지원합니다.
- AWS 클라우드, 써드파티 서비스, 온프레미스의 리소스에 대한 세분화된 액세스 제어와 중앙 집중식 시크릿 로테이션 감사를 위한 IAM 및 리소스 기반 정책을 지원합니다.
- 여러 AWS 리전에서 시크릿 복제를 지원하여 다중 리전 애플리케이션 및 재해 복구 시나리오를 지원합니다.
- VPC 인터페이스 엔드포인트를 사용한 프라이빗 액세스 지원
KMS가 포함된 Secrets Manager
- 암호화
- AWS KMS에 요청하여 KMS 키에서 새 데이터 키를 생성하여 보호된 비밀 데이터의 새 버전을 암호화합니다.
- 봉투 암호화에 이 데이터 키를 사용합니다.
- 암호화된 데이터 키를 보호된 비밀 데이터와 함께 저장합니다.
- 복호화
- 암호화된 데이터 키의 암호 해독을 AWS KMS에 요청합니다.
- 일반 텍스트 데이터 키를 사용하여 보호된 비밀 데이터를 복호화합니다.
- 데이터 키를 암호화되지 않은 형태로 저장하지 않으며, 사용 후에는 항상 데이터 키를 즉시 폐기합니다.
시크릿 매니저 로테이션
- AWS Secrets Manager는 일정에 따라 데이터베이스 자격 증명을 로테이션할 수 있습니다.
- Secrets Manager가 로테이션을 시작할 때
- 로테이션을 시작하면 제공된 슈퍼 데이터베이스 자격 증명을 사용하여 동일한 권한이지만 다른 비밀번호를 가진 복제 사용자를 생성합니다.
- 데이터베이스 자격 증명을 검색하는 데이터베이스 및 애플리케이션에 복제 사용자 정보를 전달합니다.
- CloudWatch 이벤트와 통합하여 비밀을 회전할 때 알림을 보냅니다.
- 자격 증명 회전은 이미 열려 있는 연결에는 영향을 미치지 않으므로 다시 인증하지 않습니다. 인증은 연결이 설정될 때 이루어집니다.
반응형
'Security > Cloud Computing' 카테고리의 다른 글
| [AWS SAA-C03] AWS 재해복구계획(DR) 정리 2 (0) | 2023.05.18 |
|---|---|
| [AWS SAA-C03] AWS 재해복구계획(DR) 정리 1 (0) | 2023.05.17 |
| [AWS SAA-C03] AWS Inspector 정리 (0) | 2023.05.13 |
| [AWS SAA-C03] AWS Shield 정리 (0) | 2023.05.10 |
| [AWS SAA-C03] AWS WAF 정리 (0) | 2023.05.06 |