AWS Secrets Manager의 데이터 보호

AWS 공동 책임 모델은 AWS Secrets Manager의 데이터 보호에 적용됩니다. 이 모델에서 설명하는 것처럼 AWS는 모든 AWS 클라우드를 실행하는 글로벌 인프라를 보호할 책임이 있습니다. 이 인프라에서 호스팅되는 콘텐츠에 대한 제어를 유지하는 것은 사용자의 책임입니다. 이 콘텐츠에는 사용하는 AWS 서비스 서비스의 보안 구성과 관리 작업이 포함돼 있습니다. 데이터 프라이버시에 대한 자세한 내용은 데이터 프라이버시 FAQ를 참조하세요. 유럽의 데이터 보호에 대한 자세한 내용은 AWS 보안 블로그의 AWS 공동 책임 모델 및 GDPR 블로그 게시물을 참조하세요.

데이터를 보호하려면 AWS 계정 자격 증명을 보호하고 AWS Identity and Access Management(IAM)를 사용하여 개별 사용자 계정을 설정하는 것이 좋습니다. 이러한 방식에서는 각 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.

• 각 계정에 다중 인증(MFA)을 사용합니다.

• SSL/TLS를 사용하여 AWS 리소스와 통신합니다. Secrets Manager는 모든 리전에서 TLS 1.2 및 1.3을 지원합니다. Secrets Manager는 TLS (PQTLS) 네트워크 암호화 프로토콜에 대한 하이브리드 포스트 양자 키 교환 옵션도 지원합니다.

• IAM 보안 주체와 연결되어 있는 액세스 키 ID 및 비밀 액세스 키를 사용하여 Secrets Manager에 대한 프로그래밍 방식 요청에 서명합니다. 또는 AWS Security Token Service(AWS STS)를 사용하여 임시 보안 자격 증명을 생성하여 요청에 서명할 수 있습니다.

• AWS CloudTrail로 API 및 사용자 활동 로깅을 설정합니다. 로 AWS Secrets Manager 이벤트 기록 AWS CloudTrail 섹션을 참조하세요.

• 명령줄 인터페이스 또는 API를 통해 AWS에 액세스할 때 FIPS 140-2 검증된 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용합니다. AWS Secrets Manager 엔드포인트 섹션을 참조하세요.

• AWS CLI를 사용하여 Secrets Manager에 액세스하는 경우 AWS Secrets Manager 보안 암호 저장 시 AWS CLI 사용으로 발생 가능한 위험 줄이기.

유휴 시 암호화

Secrets Manager는 AWS Key Management Service(AWS KMS)를 통한 암호화를 사용하여, 저장된 데이터의 기밀성을 보호합니다.AWS KMS에서는 많은 AWS 서비스에서 사용되는 키 스토리지 및 암호화 서비스를 제공합니다. Secrets Manager의 모든 보안 암호는 고유한 데이터 키로 암호화됩니다. 각 데이터 키는 KMS 키에 의해 보호됩니다. 계정에 대한 Secrets Manager AWS 관리형 키로 기본 암호화를 사용하거나, AWS KMS에서 고유한 고객 관리형 키를 생성할 수도 있습니다. 고객 관리형 키를 사용하면 KMS 키 활동에 대한 권한 부여를 보다 세부적으로 제어할 수 있습니다. 자세한 내용은 의 비밀 암호화 및 복호화 AWS Secrets Manager 섹션을 참조하세요.

전송 중 데이터 암호화

Secrets Manager는 전송 중인 데이터를 암호화하기 위해 안전한 프라이빗 엔드포인트를 제공합니다. 안전한 프라이빗 엔드포인트를 사용하면 AWS에서 Secrets Manager에 대한 API 요청의 무결성을 보호할 수 있습니다. AWS에서 API 호출자는 X.509 인증서 및/또는 Secrets Manager 보안 액세스 키를 사용해 호출에 서명해야 합니다. 이 요구 사항은 Signature 버전 4 서명 프로세스(Sigv4)에 명시되어 있습니다.

이AWS Command Line Interface(AWS CLI) 또는 AWS SDK 중 하나를 사용하여 AWS에 대한 호출을 생성할 경우 사용할 액세스 키를 구성합니다. 그런 다음 이러한 도구는 자동으로 액세스 키를 사용하여 요청에 서명합니다. AWS Secrets Manager 보안 암호 저장 시 AWS CLI 사용으로 발생 가능한 위험 줄이기 섹션을 참조하세요.

인터네트워크 트래픽 개인 정보 보호

AWS에는 알려진 네트워크 경로와 프라이빗 네트워크 경로를 통해 트래픽을 라우팅할 때 개인 정보를 보호하는 옵션이 있습니다.

서비스와 온프레미스 클라이언트 및 애플리케이션 간의 트래픽

프라이빗 네트워크와 AWS Secrets Manager 사이에 두 연결 옵션이 있습니다.

• AWS Site-to-Site VPN 연결. 자세한 내용은 AWS Site-to-Site VPN이란 무엇입니까?를 참조하세요.

• AWS Direct Connect 연결. 자세한 내용은 AWS Direct Connect란 무엇입니까?를 참조하세요.

같은 리전에 있는 AWS 리소스 사이의 트래픽

Secrets Manager와 AWS의 API 클라이언트 간 트래픽의 보안을 유지하려면 AWS PrivateLink를 설정해 Secrets Manager API 엔드포인트에 비공개로 액세스할 수 있습니다.

암호화 키 관리

Secrets Manager에서 보호된 보안 암호 데이터의 새 버전을 암호화해야 하는 경우 Secrets Manager는 AWS KMS에 대한 요청을 보내 KMS 키에서 새 데이터 키를 생성합니다. Secrets Manager는 봉투 암호화(envelope encryption)에 이 데이터 키를 사용합니다. Secrets Manager는 암호화된 데이터 키를 암호화된 보안 암호와 함께 저장합니다. Secrets Manager는 보안 암호를 복호화해야 할 때 AWS KMS를 요청하여 데이터 키를 복호화합니다. 그런 다음 Secrets Manager는 복호화된 데이터 키를 사용하여 암호화된 보안 암호를 복호화합니다. Secrets Manager는 데이터 키를 암호화되지 않은 형식으로 저장하지 않으며 가능한 한 빨리 메모리에서 키를 제거합니다. 자세한 내용은 의 비밀 암호화 및 복호화 AWS Secrets Manager 섹션을 참조하세요.