에 대한 암호화 모범 사례 AWS Secrets Manager

AWS Secrets Manager를 이용하면 코드의 시크릿을 포함해 하드 코딩된 보안 인증을 Secrets Manager에서 프로그래밍 방식으로 시크릿을 검색하도록 하는 API 호출로 바꿀 수 있습니다. Secrets Manager는와 통합되어 모든 보안 암호 값의 모든 버전을 AWS KMS 로 보호되는 고유한 데이터 키로 암호화합니다 AWS KMS key. 이 통합은 암호화 AWS KMS 되지 않은 상태로 두지 않는 암호화 키로 저장된 보안 암호를 보호합니다. 또한 KMS 키에 대한 사용자 지정 권한을 정의하여 저장된 암호를 보호하는 데이터 키를 생성, 암호화 및 해독하는 작업을 감사할 수 있습니다. 자세한 내용은 AWS Secrets Manager에서 시크릿 암호화 및 복호화를 참조하세요.

이 서비스에 대해 다음 암호화 모범 사례를 고려하세요.

• 대부분의 경우 aws/secretsmanager AWS 관리형 키를 사용하여 보안 암호를 암호화하는 것이 좋습니다. 이를 사용하는 데 드는 비용은 없습니다.

• 다른 계정의 보안 암호에 액세스하거나 키 정책을 암호화 키에 적용하려면 고객 관리형 키를 사용하여 보안 암호를 암호화합니다.

  • 키 정책에서 secretsmanager.<region>.amazonaws.com 값을 kms:ViaService 조건 키에 할당합니다. 이렇게 하면 Secrets Manager의 요청에만 키를 사용하도록 제한됩니다.

  • 올바른 컨텍스트를 가진 Secrets Manager의 요청에만 키를 사용하도록 제한하려면, 다음 항목을 생성하여 KMS 키를 사용하는 조건으로 Secrets Manager 암호화 컨텍스트의 키 또는 값을 사용합니다.

    • IAM 정책 또는 키 정책의 문자열 조건 연산자

    • 권한 부여의 권한 부여 제약 조건