AWS Lambda 를 사용하여 보안 암호 교체

AWS Well-Architected Framework에서는 보안 암호를 안전하게 저장하고 사용할 것을 권장합니다. 이 모범 사례에서는 자격 증명 교체를 정기적으로 자동화할 것을 권장합니다. 교체는 공격자가 자격 증명에 액세스하는 것을 더욱 어렵게 만들기 위해 보안 암호를 주기적으로 업데이트하는 프로세스입니다. 또한 많은 규정 준수 프레임워크 및 규정에 따라 보안 암호를 교체해야 합니다.

Terraform IaC의 경우 AWS Secrets Manager 및를 사용하여 자동 교체AWS Lambda를 설정할 수 있습니다. Secrets Manager에서 보안 암호에 대한 자동 교체를 설정할 수 있습니다. Secrets Manager가 보안 암호를 교체하면 보안 암호 및 데이터베이스 또는 서비스 모두에서 자격 증명이 업데이트됩니다.

데이터베이스의 경우 Secrets Manager에서 기본 자격 증명을 관리하고 정기적으로 보안 암호를 교체하는 것이 좋습니다. Secrets Manager는 여러 유형의 데이터베이스 자격 증명에 대해 Lambda용 교체 함수 템플릿을 제공합니다. 자세한 내용은 Secrets Manager 설명서의 AWS Secrets Manager 교체 함수 템플릿과 GitHub의 코드 샘플을 참조하세요. 다음은 보안 암호 또는 민감한 데이터를 교체하는 데 사용할 수 있는 Terraform IaC의 예입니다.


resource "aws_secretsmanager_secret_rotation" "createrotation" {
  count               = var.needrotation == true ? 1 : 0
  secret_id           = aws_secretsmanager_secret.initiatesecret.id
  rotation_lambda_arn = aws_lambda_function.rotationlambda.arn

  rotation_rules {
    automatically_after_days = 1
  }
}

다음 아키텍처 다이어그램은 Secrets Manager, Amazon VPC 엔드포인트 및 Lambda 함수를 사용하여에서 민감한 데이터를 교체하는 방법을 보여줍니다 AWS 계정.

Lambda를 사용하여에서 보안 암호 교체 AWS Secrets Manager

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

무작위 암호 생성

액세스 제한