안전한 보안 정보 스토리지

AWS Secrets Manager는 사용자가 소유하고 AWS Key Management Service(KMS)에 저장한 암호화 키를 사용해 저장 보안 정보를 암호화합니다. 사용자가 보안 정보를 검색하면 Secrets Manager가 해당 보안 정보를 복호화하여 TLS를 통해 안전하게 로컬 환경으로 전송합니다. 기본적으로 Secrets Manager는 보안 정보를 영구 스토리지에 작성하거나 캐시하지 않습니다. 세분화된 AWS Identity and Access Management(IAM) 정책 및 리소스 기반 정책을 사용하여 보안 정보에 대한 액세스를 제어할 수 있습니다.  보안 정보에 개별적으로 태그를 지정하고 태그 기반 액세스 제어를 적용할 수도 있습니다. 예를 들어, 프로덕션 환경에서 사용되는 보안 정보를 "Prod"로 표시한 다음 기업 IT 네트워크 내에서 요청이 들어오는 경우에만 이러한 보안 정보에 대해 액세스 권한을 부여하는 IAM 정책을 작성할 수 있습니다.

애플리케이션 중단 없이 자동으로 보안 정보 교체

AWS Secrets Manager에서는 Secrets Manager 콘솔, AWS SDK 또는 AWS CLI를 사용하여 예약된 일정 또는 필요에 따라 보안 정보를 교체할 수 있습니다. 예를 들어 데이터베이스 암호를 교체하려면 Secrets Manager에 암호를 저장할 때 데이터베이스 유형, 교체 빈도, 마스터 데이터베이스 자격 증명을 제공하면 됩니다. Secrets Manager는 Amazon RDS 및 Amazon DocumentDB에서 호스팅되는 데이터베이스 및 Amazon Redshift에서 호스팅되는 클러스터에 대한 자격 증명 교체를 기본적으로 지원합니다. 또한, 샘플 Lambda 함수를 수정하면 다른 보안 정보를 교체하도록 Secrets Manager를 확대 적용할 수 있습니다. 예를 들어 애플리케이션 인증에 사용되는 OAuth 갱신 토큰 또는 온프레미스에 호스팅된 MySQL 데이터베이스에 사용되는 암호를 교체할 수 있습니다. 사용자와 애플리케이션은 Secrets Manager API를 호출함으로써 하드코딩된 보안 정보를 교체할 수 있으므로 애플리케이션이 중단 없이 실행되도록 보장하면서 보안 정보 교체를 자동화할 수 있습니다.

프로그래밍 방식으로 보안 정보를 검색

AWS Secrets Manager 콘솔, AWS SDK, AWS CLI 또는 AWS CloudFormation를 사용하여 보안 정보를 저장하고 검색할 수 있습니다. 보안 정보를 검색하려면 Secrets Manager API를 사용하여 프로그래밍 방식으로 보안 정보를 가져오는 코드를 통해 애플리케이션의 일반 텍스트 보안 정보를 교체하면 됩니다. Secrets Manager는 Secrets Manager API를 호출하는 코드 샘플을 제공하며 Secrets Manager 리소스 페이지에도 샘플이 제공되어 있습니다.  Amazon Virtual Private Cloud(VPC) 종단점을 구성하여 AWS 네트워크 내에서 VPC와 Secrets Manager 사이의 트래픽을 유지할 수 있습니다. 또한 Secrets Manager 클라이언트 측 캐싱 라이브러리를 사용하여 보안 정보 사용의 가용성을 향상시키고 지연 시간을 줄일 수 있습니다.

보안 정보 사용 감사 및 모니터링

AWS Secrets Manager를 사용하면 AWS 로깅, 모니터링 및 알림 서비스와 통합하여 보안 정보를 감사하고 모니터링할 수 있습니다. 예를 들어 AWS 리전에 대해 AWS CloudTrail을 활성화한 후 AWS CloudTrail 로그를 보면 언제 보안 정보가 저장되거나 교체되었는지 감사할 수 있습니다. 마찬가지로 보안 정보가 일정 기간 사용되지 않고 있으면 Amazon Simple Notification Service를 통해 이메일 메시지를 수신하도록 Amazon CloudWatch를 구성하거나, Secrets Manager가 보안 정보를 교체하면 푸시 알림을 수신하도록 Amazon CloudWatch Events를 구성할 수 있습니다.

규정 준수

AWS Secrets Manager를 사용하여 미국 의료 정보 보호법(HIPAA), 결제 카드 산업 데이터 보안 표준(PCI-DSS), ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 또는 ISO 9001에 따라 워크로드에 대한 보안 정보를 관리할 수 있습니다. AWS Artifact에서 AWS의 규정 준수 프로그램 및 보고서에 대한 세부 정보를 확인하십시오.

AWS Secrets Manager 요금에 대해 자세히 알아보기

요금 페이지로 이동하기
구축할 준비가 되셨습니까?
AWS Secrets Manager 시작하기
추가 질문이 있으십니까?
문의처