Amazon ECS에서 프로그래밍 방식으로 Secrets Manager 보안 암호 검색
Secrets Manager를 사용하여 중요 데이터를 보호하고 수명 주기 동안 데이터베이스 보안 인증, API 키, 기타 보안 암호를 순환, 관리, 검색하세요.
애플리케이션에서 민감한 정보를 일반 텍스트로 하드 코딩하는 대신, Secrets Manager를 사용하여 민감한 데이터를 저장할 수 있습니다.
중요 데이터를 검색할 때 이 방법을 권장하는 이유는 이후에 Secrets Manager 보안 암호가 업데이트되면 애플리케이션이 자동으로 최신 버전의 보안 암호를 검색하기 때문입니다.
Secrets Manager에서 보안 암호를 생성합니다. Secrets Manager 보안 암호를 생성한 후 애플리케이션 코드를 업데이트하여 보안 암호를 검색하세요.
Secrets Manager에서 중요 데이터를 보호하기 전에 다음 고려 사항을 검토하세요.
-
CreateSecret API의
SecretString파라미터로 생성된 암호이며 텍스트 데이터를 저장하는 암호만이 지원됩니다. 이진 데이터를 저장하는 보안 암호(CreateSecret API의SecretBinary파라미터로 생성된 보안 암호임)는 지원되지 않습니다. -
인터페이스 VPC 엔드포인트를 사용하여 보안 제어를 강화합니다. Secrets Manager용 인터페이스 VPC 엔드포인트를 생성해야 합니다. VPC 엔드포인트에 대한 자세한 내용은 AWS Secrets Manager 사용 설명서의 VPC 종단점 생성을 참조하세요.
-
작업에서 사용하는 VPC는 DNS 확인을 사용해야 합니다.
필수 IAM 권한
이 기능을 사용하려면 Amazon ECS 작업 역할이 있어야 하며 작업 정의에서 해당 역할을 참조해야 합니다. 자세한 내용은 Amazon ECS 작업 IAM 역할 단원을 참조하십시오.
사용자가 생성한 Secrets Manager 보안 암호에 대한 액세스 권한을 제공하려면 작업 실행 역할에 다음 권한을 수동으로 추가합니다. 권한 관리 방법에 대한 자세한 내용은 IAM 사용 설명서의 IAM 자격 증명 권한 추가 및 제거를 참조하세요.
-
secretsmanager:GetSecretValue– Secrets Manager 보안 암호를 참조하는 경우에 필요합니다. Secrets Manager에서 암호를 검색할 수 있는 권한을 추가합니다.
다음 예제에서는 정책이 필수 권한을 추가합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:aws_account_id:secret:secret_name" ] } ] }
Secrets Manager 보안 암호 생성
Secrets Manager 콘솔을 사용하여 민감한 데이터에 대한 암호를 생성할 수 있습니다. 보안 암호 생성 방법에 대한 자세한 내용은 AWS Secrets Manager 사용 설명서의 AWS Secrets Manager 보안 암호 생성을 참조하세요.
애플리케이션을 업데이트하여 프로그래밍 방식으로 Secrets Manager 보안 암호 검색
애플리케이션에서 직접 Secrets Manager API를 호출하여 보안 암호를 검색할 수 있습니다. 자세한 내용은 AWS Secrets Manager 사용 설명서의 Retrieve secrets from AWS Secrets Manager를 참조하세요.
AWS Secrets Manager에 저장된 민감한 데이터를 검색하려면 AWS SDK 코드 예제 코드 라이브러리의 Code examples for AWS Secrets Manager using AWS SDKs를 참조하세요.
