기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Config를 사용하여 규정 준수를 위한 AWS Secrets Manager 보안 암호 감사
AWS Config를 사용하여 보안 암호를 평가하고 내부 관행, 업계 지침 및 규정을 얼마나 잘 준수하는지 평가할 수 있습니다. AWS Config 규칙을 사용하여 보안 암호에 대한 내부 보안 및 규정 준수 요구 사항을 정의합니다. 그러면 AWS Config가 해당 규칙에 부합하지 않는 보안 암호를 식별할 수 있습니다. 또한 보안 암호 메타데이터, 교체 구성, 보안 암호 암호화에 사용되는 KMS 키, Lambda 교체 함수 및 보안 암호와 연결된 태그에 대한 변경 사항을 추적할 수 있습니다.
Amazon SNS에서 보안 암호 구성에 대한 알림을 받을 수 있습니다. 예를 들어, 교체하도록 구성되지 않은 보안 암호 목록에 대한 Amazon SNS 알림을 받는다면 보안 암호 교체와 관련된 보안 모범 사례를 구현할 수 있게 됩니다.
조직에 여러 AWS 계정 및 AWS 리전에 보안 암호가 있는 경우, 해당 구성 및 규정 준수 데이터를 집계할 수 있습니다.
보안 암호에 새 규칙을 추가하려면
-
AWS Config 관리형 규칙 작업의 지침을 따르고 다음 규칙 중 하나를 선택합니다.
-
secretsmanager-rotation-enabled-check
— Secrets Manager에 저장된 보안 암호에 대해 교체가 구성되었는지 확인합니다. -
secretsmanager-scheduled-rotation-success-check
— 마지막으로 성공한 교체가 설정된 교체 주기 내에 있는지 확인합니다. 최소 확인 주기는 매일입니다. -
secretsmanager-secret-periodic-rotation
- 보안 암호를 지정된 일수 내에 교체했는지 확인합니다. -
secretsmanager-secret-unused
— 보안 암호를 지정된 일수 내에 액세스했는지 확인합니다. -
secretsmanager-using-cmk
- 보안 암호를 AWS 관리형 키aws/secretsmanager
또는 AWS KMS에서 생성한 고객 관리형 키를 사용하여 암호화했는지 확인합니다.
-
규칙을 저장한 후 AWS Config는 보안 암호의 메타데이터가 변경될 때마다 보안 암호를 평가합니다. 변경 사항에 대한 알림을 받도록 AWS Config를 구성할 수 있습니다. 자세한 내용은 AWS Config에서 Amazon SNS 주제로 전송하는 알림을 참조하세요.
AWS 계정 및 AWS 리전에서 보안 암호 집계
조직의 모든 계정 및 리전에서 보안 암호 구성을 검토하도록 AWS Config 다중 계정 다중 리전 집계자를 구성한 다음, 보안 암호 구성을 검토하고 보안 암호 관리의 모범 사례와 비교할 수 있습니다.
집계자를 만들기 전에 모든 계정과 리전에서 암호와 관련된 AWS Config 및 AWS Config 관리 규칙을 활성화해야 합니다. 자세한 내용은 CloudFormation StackSets를 사용하여 여러 AWS 계정 및 리전에서 리소스 프로비저닝
AWS Config 집계자에 대한 자세한 내용은 AWS Config 개발자 가이드에서 다중 계정 다중 리전 데이터 집계 및 콘솔을 사용한 집계자 설정을 참조하세요.