AWS Secrets Manager 기능

AWS Secrets Manager는 사용자가 소유하고 AWS Key Management Service(AWS KMS)에 저장한 암호화 키를 사용해 저장된 비밀을 암호화합니다. 

• 사용자가 비밀을 검색하면 Secrets Manager가 해당 비밀을 복호화하여 TLS를 통해 안전하게 로컬 환경으로 전송합니다.
• Secrets Manager는 AWS Identity and Access Management(IAM)와 통합되어 세분화된 IAM 정책 및 리소스 기반 정책을 사용하여 비밀에 대한 액세스를 제어할 수 있습니다.

AWS Secrets Manager에서는 Secrets Manager 콘솔, AWS SDK 또는 AWS CLI를 사용하여 예약된 일정 또는 필요에 따라 비밀을 교체할 수 있습니다. 

• Secrets Manager는 Amazon RDS 및 Amazon DocumentDB에서 호스팅되는 데이터베이스 및 Amazon Redshift에서 호스팅되는 클러스터에 대한 보안 인증 정보 교체를 기본적으로 지원합니다.
  
• 또한 샘플 Lambda 함수를 수정하여 다른 AWS 또는 3P 서비스에 사용된 비밀을 교체하도록 Secrets Manager를 확대 적용할 수 있습니다.

AWS Secrets Manager를 사용하면 여러 AWS 리전으로 비밀을 자동으로 복제하여 고유한 재해 복구 및 교차 리전 이중화 요구 사항을 충족할 수 있습니다. 비밀을 복제할 AWS 리전을 지정하면 Secrets Manager가 안전하게 리전 읽기 전용 복제본을 생성하므로 이 기능을 위한 복잡한 솔루션을 유지 관리할 필요가 없습니다. 필요한 리전에서 복제된 비밀에 대한 액세스 권한을 다중 리전 애플리케이션에 부여하고 Secrets Manager를 사용하여 복제본을 기본 비밀과 동기화할 수 있습니다.

비밀의 보안을 최우선으로 애플리케이션을 구축하세요.

• Secrets Manager는 일반적인 프로그래밍 언어에서 Secrets Manager API를 호출하는 코드 샘플을 제공합니다. 보안 암호를 검색하는 API에는 두 가지 유형이 있습니다.
  • 이름 또는 ARN으로 단일 보안 암호를 검색합니다.
  • 이름 또는 ARN 목록 또는 태그와 같은 필터 기준을 제공하여 보안 암호 그룹을 검색합니다.
• Amazon Virtual Private Cloud(VPC) 엔드포인트를 구성하여 AWS 네트워크 내에서 VPC와 Secrets Manager 사이의 트래픽을 유지할 수 있습니다.
• 또한 Secrets Manager 클라이언트 측 캐싱 라이브러리를 사용하여 비밀 사용의 가용성을 높이고 비밀 검색 중의 지연 시간을 줄일 수 있습니다.

AWS Secrets Manager를 사용하면 AWS 로깅, 모니터링 및 알림 서비스와 통합하여 비밀을 감사하고 모니터링할 수 있습니다. 예를 들어 AWS 리전에 대해 AWS CloudTrail을 활성화한 후 AWS CloudTrail 로그를 보면 언제 비밀이 생성되거나 교체되었는지 감사할 수 있습니다. 마찬가지로 비밀이 일정 기간 사용되지 않고 있으면 Amazon Simple Notification Service를 통해 이메일 메시지를 수신하도록 Amazon CloudWatch를 구성하거나, Secrets Manager가 비밀을 교체하면 푸시 알림을 수신하도록 Amazon CloudWatch Events를 구성할 수 있습니다.

AWS Secrets Manager를 사용하여 규정 준수 요구 사항을 충족할 수 있습니다.

• AWS Config 규칙을 사용하면 조직의 보안 및 규정 준수 요구 사항에 따라 비밀이 구성되었는지 확인하는 데 도움이 됩니다.
• 미국 국방부 클라우드 컴퓨팅 보안 요구 사항 가이드(DoD CC SRG IL2, DoD CC SRG IL4, and DoD CC SRG IL5), 미국 연방정부 클라우드 보안 프로그램(Federal Risk and Authorization Management Program, FedRAMP), HIPAA(미국 건강 보험 양도 및 책임에 관한 법), IRAP(Information Security Registered Assessors Program), 아웃소싱 서비스 공급업체 감사 보고서(OSPAR), ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO 9001, PCI DSS(Payment Card Industry Data Security Standard) 또는 SOC(System and Organization Control)가 적용되는 워크로드의 비밀을 관리할 수 있습니다.
• AWS Artifact에서 AWS의 규정 준수 프로그램 및 보고서에 대한 세부 정보를 확인하세요.

AWS 서비스를 Secrets Manager와 통합하여 보안 인증 정보를 안전하게 관리할 수 있습니다. 이러한 통합은 다양한 AWS 서비스와 보안 인증 정보를 안전하게 교환하는 데 도움이 됩니다. Secrets Manager에 저장된 보안 인증 정보는 AWS 관리형 KMS 키 또는 고객 관리형 키를 사용하여 암호화됩니다. Secrets Manager는 비밀을 주기적으로 교체하여 보안 기준을 높게 유지합니다. Secrets Manager를 통해 비밀을 저장한 후에는 일반 텍스트 형식의 보안 인증 정보 대신 비밀의 ARN을 AWS 서비스에 제공할 수 있습니다. 다음 서비스는 Secrets Manager를 지원하므로 고객은 보안 인증 정보를 안전하게 교환할 수 있습니다.