에 대한 인증 및 액세스 제어 AWS Secrets Manager

Secrets Manager는 AWS Identity and Access Management (IAM)를 사용하여 보안 암호에 대한 액세스를 제어합니다. IAM은 인증 및 액세스 제어를 제공합니다. 인증은 개인 요청의 자격 증명을 확인합니다. Secrets Manager는 암호, 액세스 키 및 멀티 팩터 인증(MFA) 토큰을 통해 로그인 프로세스를 사용하여 사용자의 자격 증명을 확인합니다. 로그인을 참조하십시오 AWS. 액세스 제어는 승인된 개인만 AWS 리소스(예: 보안 암호)에 대한 작업을 수행할 수 있도록 합니다. Secrets Manager는 정책을 사용하여 리소스에 액세스할 수 있는 사용자 및 해당 리소스에 대해 자격 증명이 수행할 수 있는 작업을 정의합니다. IAM의 정책 및 권한을 참조하세요.

Secrets Manager 관리자 권한

Secrets Manager 관리자 권한을 부여하려면 IAM 자격 증명 권한 추가 및 제거의 지침을 따르고 다음 정책을 연결합니다.

• SecretsManagerReadWrite

• IAMFullAccess

최종 사용자에게는 관리자 권한을 부여하지 않는 것이 좋습니다. 이를 통해 사용자는 자신의 보안 암호를 생성하고 관리할 수 있지만 교체를 활성화하는 데 필요한 권한(IAMFullAccess)은 최종 사용자에게 적합하지 않은 중요한 권한을 부여합니다.

보안 암호에 액세스할 수 있는 권한

IAM 권한 정책을 사용하여 보안 암호에 액세스하는 사용자 또는 서비스를 제어할 수 있습니다. 권한 정책은 누가 어떤 리소스에 대해 어떤 작업을 수행할 수 있는지 설명합니다. 다음을 할 수 있습니다.

• 자격 증명에 권한 정책 연결

• AWS Secrets Manager 보안 암호에 권한 정책 연결

Lambda 교체 함수에 대한 권한

Secrets Manager는 AWS Lambda 함수를 사용하여 비밀을 교체합니다. Lambda 함수는 보안 암호에 자격 증명이 포함된 데이터베이스 또는 서비스뿐 아니라 보안 암호에 액세스할 수 있어야 합니다. 교체 권한 단원을 참조하세요.

암호화 키 권한

Secrets Manager는 AWS Key Management Service (AWS KMS) 키를 사용하여 비밀을 암호화합니다. 에는 AWS 관리형 키 aws/secretsmanager 자동으로 올바른 권한이 부여됩니다. 다른 KMS 키를 사용하는 경우 Secrets Manager는 해당 키에 대한 권한이 필요합니다. KMS 키에 대한 권한 단원을 참조하세요.

복제에 대한 권한

IAM 권한 정책을 사용하면 암호를 다른 지역에 복제할 수 있는 사용자 또는 서비스를 제어할 수 있습니다. AWS Secrets Manager 복제 방지를 참조하세요.