AWS Config를 사용하여 규정 준수를 위한 AWS Secrets Manager 보안 암호 감사

AWS Config를 사용하여 보안 암호를 평가하고 내부 관행, 업계 지침 및 규정을 얼마나 잘 준수하는지 평가할 수 있습니다. AWS Config 규칙을 사용하여 보안 암호에 대한 내부 보안 및 규정 준수 요구 사항을 정의합니다. 그러면 AWS Config가 해당 규칙에 부합하지 않는 보안 암호를 식별할 수 있습니다. 또한 보안 암호 메타데이터, 교체 구성, 보안 암호 암호화에 사용되는 KMS 키, Lambda 교체 함수 및 보안 암호와 연결된 태그에 대한 변경 사항을 추적할 수 있습니다.

Amazon SNS에서 보안 암호 구성에 대한 알림을 받을 수 있습니다. 예를 들어, 교체하도록 구성되지 않은 보안 암호 목록에 대한 Amazon SNS 알림을 받는다면 보안 암호 교체와 관련된 보안 모범 사례를 구현할 수 있게 됩니다.

조직에 여러 AWS 계정 및 AWS 리전에 보안 암호가 있는 경우, 해당 구성 및 규정 준수 데이터를 집계할 수 있습니다.

보안 암호에 새 규칙을 추가하려면

• AWS Config 관리형 규칙 작업의 지침을 따르고 다음 규칙 중 하나를 선택합니다.

  • secretsmanager-rotation-enabled-check — Secrets Manager에 저장된 보안 암호에 대해 교체가 구성되었는지 확인합니다.

  • secretsmanager-scheduled-rotation-success-check— 마지막으로 성공한 교체가 설정된 교체 주기 내에 있는지 확인합니다. 최소 확인 주기는 매일입니다.

  • secretsmanager-secret-periodic-rotation - 보안 암호를 지정된 일수 내에 교체했는지 확인합니다.

  • secretsmanager-secret-unused — 보안 암호를 지정된 일수 내에 액세스했는지 확인합니다.

  • secretsmanager-using-cmk - 보안 암호를 AWS 관리형 키 aws/secretsmanager 또는 AWS KMS에서 생성한 고객 관리형 키를 사용하여 암호화했는지 확인합니다.

규칙을 저장한 후 AWS Config는 보안 암호의 메타데이터가 변경될 때마다 보안 암호를 평가합니다. 변경 사항에 대한 알림을 받도록 AWS Config를 구성할 수 있습니다. 자세한 내용은 AWS Config에서 Amazon SNS 주제로 전송하는 알림을 참조하세요.

AWS 계정 및 AWS 리전에서 보안 암호 집계

조직의 모든 계정 및 리전에서 보안 암호 구성을 검토하도록 AWS Config 다중 계정 다중 리전 집계자를 구성한 다음, 보안 암호 구성을 검토하고 보안 암호 관리의 모범 사례와 비교할 수 있습니다.

집계자를 만들기 전에 모든 계정과 리전에서 암호와 관련된 AWS Config 및 AWS Config 관리 규칙을 활성화해야 합니다. 자세한 내용은 CloudFormation StackSets를 사용하여 여러 AWS 계정 및 리전에서 리소스 프로비저닝을 참조하세요.

AWS Config 집계자에 대한 자세한 내용은 AWS Config 개발자 가이드에서 다중 계정 다중 리전 데이터 집계 및 콘솔을 사용한 집계자 설정을 참조하세요.