기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
생성하기 AWS Secrets Manager secret
암호는 암호, 사용자 이름 및 암호와 같은 자격 증명 집합, OAuth 토큰 또는 Secrets Manager에 암호화된 형식으로 저장하는 기타 비밀 정보일 수 있습니다.
작은 정보
Amazon RDS 및 Amazon Redshift 관리자 사용자 자격 증명의 경우 관리형 암호를 사용하는 것이 좋습니다. 관리 서비스를 통해 관리 암호를 생성한 다음 관리 순환을 사용할 수 있습니다.
콘솔을 사용하여 다른 지역으로 복제되는 원본 데이터베이스의 데이터베이스 자격 증명을 저장하는 경우 암호에는 원본 데이터베이스의 연결 정보가 포함됩니다. 그 후에 보안 암호를 복제하면 복제본은 소스 보안 암호의 복사본이 되며 동일한 연결 정보를 포함합니다. 리전 연결 정보를 위해 보안 암호에 추가로 키/값 쌍을 추가할 수 있습니다.
비밀번호를 만들려면 SecretsManagerReadWrite 관리형 정책에서 부여한 권한이 필요합니다.
시크릿 매니저는 시크릿을 생성할 때 CloudTrail 로그 항목을 생성합니다. 자세한 내용은 로 AWS Secrets Manager 이벤트 기록 AWS CloudTrail 단원을 참조하십시오.
보안 암호(콘솔) 생성
에서 Secrets Manager 콘솔을 엽니다 https://console.aws.amazon.com/secretsmanager/
. -
Store a new secret(새 보안 암호 저장)을 선택합니다.
-
보안 암호 유형 선택(Choose secret type) 페이지에서 다음을 수행합니다.
-
보안 암호 유형(Secret type)에서 다음 중 하나를 수행합니다.
-
데이터베이스 자격 증명을 저장하려면 저장할 데이터베이스 자격 증명의 유형을 선택합니다. 그런 다음 데이터베이스를 선택한 다음 자격 증명을 입력합니다.
-
데이터베이스용이 아닌 API 키, 액세스 토큰, 자격 증명을 저장하려면 기타 유형의 암호를 선택합니다.
키/값 쌍에서 JSON 키/값 쌍으로 암호를 입력하거나 일반 텍스트 탭을 선택하고 원하는 형식으로 암호를 입력합니다. 보안 암호에는 최대 65,536바이트까지 저장할 수 있습니다. 다음은 일부 예입니다.
-
-
암호화 키의 경우 다음을 선택합니다. AWS KMS key Secrets Manager가 비밀 값을 암호화하는 데 사용하는 정보입니다. 자세한 내용은 보안 암호 암호화 및 복호화 단원을 참조하십시오.
-
대부분의 경우 AWS/secretsmanager를 선택하여 다음을 사용하십시오. AWS 관리형 키 Secrets Manager를 위해. 이 키를 사용하는 데 드는 비용은 없습니다.
-
다른 사람의 비밀에 액세스해야 하는 경우 AWS 계정또는 자체 KMS 키를 사용하여 교체하거나 키 정책을 적용하려면 목록에서 고객 관리 키를 선택하거나 Add new key (새 키 추가) 를 선택하여 새로 만드십시오. 고객 관리형 키 사용 비용에 대한 자세한 내용은 요금을 참조하세요.
키에 대한 권한 KMS이(가) 있어야 합니다. 크로스 계정 액세스에 대한 자세한 내용은 액세스 AWS Secrets Manager 다른 계정의 비밀 섹션을 참조하세요.
-
-
Next(다음)를 선택합니다.
-
-
보안 구성(Configure secret) 페이지에서 다음을 수행합니다.
-
설명이 포함된 Secret name(보안 암호 이름)과 Description(설명)을 입력합니다. 비밀 이름은 1~512개의 영숫자 및 /_+ =.@- 문자를 포함할 수 있습니다.
-
(선택 사항) Tags(태그) 섹션에서 보안 암호에 태그를 추가합니다. 태깅 전략에 대한 자세한 내용은 AWS Secrets Manager 보안 암호 태그 지정 단원을 참조하세요. 민감한 정보는 암호화되지 않으므로 태그에 저장하지 마세요.
-
(선택 사항) 리소스 권한(Resource permissions)에서 리소스 정책을 보안 암호에 추가하려면 권한 편집(Edit permissions)을 선택합니다. 자세한 내용은 AWS Secrets Manager 보안 암호에 권한 정책 연결 단원을 참조하십시오.
-
(선택 사항) 암호 복제에서 암호를 다른 암호로 복제하려면 AWS 리전[암호 복제] 를 선택합니다. 보안 암호를 지금 복제하거나 페이지로 다시 돌아와서 나중에 복제할 수 있습니다. 자세한 내용은 지역 간 비밀 복제 단원을 참조하십시오.
-
Next(다음)를 선택합니다.
-
-
(선택 사항) 교체 구성(Configure rotation) 페이지에서 자동 교체를 켤 수 있습니다. 현재 교체를 끈 다음 나중에 켤 수도 있습니다. 자세한 정보는 보안 암호 교체을(를) 참조하세요. Next(다음)를 선택합니다.
-
Review(검토) 페이지에서 보안 암호 세부 정보를 검토한 후 Store(저장)를 선택합니다.
Secrets Manager는 보안 암호 목록으로 돌아갑니다. 암호가 표시되지 않으면 Refresh(새로 고침)를 선택합니다.
AWS CLI
명령 셸에 명령을 입력하면 명령 기록이 액세스되거나 유틸리티가 명령 파라미터에 액세스할 위험이 있습니다. AWS Secrets Manager 보안 암호 저장 시 AWS CLI 사용으로 발생 가능한 위험 줄이기을 참조하세요.
예 파일의 데이터베이스 자격 증명으로 시크릿 생성 JSON
다음 create-secret 예시에서는 파일의 보안 인증 정보를 사용하여 보안 암호를 만듭니다. 자세한 내용은 로드를 참조하십시오. AWS CLI 파일에 있는 매개 변수 AWS CLI 사용자 가이드.
Secrets Manager에서 암호를 교체할 수 있으려면 암호가 JSON 일치하는지 확인해야 합니다JSON비밀의 구조.
aws secretsmanager create-secret \ --name MyTestSecret \ --secret-string file://mycreds.json
mycreds.json의 콘텐츠:
{ "engine": "mysql", "username": "saanvis", "password": "EXAMPLE-PASSWORD", "host": "my-database-endpoint.us-west-2.rds.amazonaws.com", "dbname": "myDatabase", "port": "3306" }
예 보안 암호 생성
다음 create-secret 예시에서는 두 개의 키-값 쌍으로 보안 암호를 만듭니다.
aws secretsmanager create-secret \ --name MyTestSecret \ --description "My test secret created with the CLI." \ --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
AWS SDK
다음 중 하나를 사용하여 시크릿을 만들려면 AWS SDKsCreateSecret액션을 사용하세요. 자세한 내용은 AWS SDKs 단원을 참조하십시오.
