AWS Secrets Manager에 통합된 AWS 서비스 - AWS Secrets Manager

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

AWS Secrets Manager에 통합된 AWS 서비스

AWS Secrets Manager를 다른 AWS 서비스와 함께 사용하여 비즈니스 문제에 유용한 추가 솔루션을 제공할 수 있습니다. 이 주제에서는 Secrets Manager를 사용하여 기능을 추가하는 서비스 또는 Secrets Manager에서 작업을 수행하는 데 사용하는 서비스에 대해 살펴봅니다.

AWS CloudFormation을 사용하여 보안 암호 생성 자동화

Secrets Manager는 AWS CloudFormation을 지원하므로 스택 템플릿 내에서 보안 암호를 정의하고 참조할 수 있습니다. Secrets Manager는 보안 암호를 생성하고 자격 증명이 저장된 데이터베이스나 서비스에 연결할 수 있도록 몇 가지 AWS CloudFormation 리소스 유형을 정의합니다. 새 데이터베이스에 마스터 사용자 및 암호를 정의할 때 보안 암호에서 사용자 이름과 암호를 검색하는 것과 같이 템플릿의 다른 부분에서 보안 암호의 요소를 참조할 수 있습니다. 리소스 기반 정책을 생성하여 보안 암호에 연결할 수 있습니다. 또한 템플릿에 Lambda 함수를 정의하고 이 함수를 교체 Lambda 함수로 새 보안 암호와 연결하여 교체를 구성할 수도 있습니다. 자세한 내용과 종합적인 예제는 AWS CloudFormation에서 보안 암호 자동 생성 단원을 참조하십시오.

AWS Config를 사용하여 보안 암호 모니터링

AWS Secrets Manager를 AWS Config에 통합하면 Secrets Manager의 보안 암호 변경 사항을 더 쉽게 추적할 수 있습니다. 두 가지 관리형 AWS Config 규칙을 추가로 사용하여 보안 암호 관리의 모범 사례에 대한 조직 내부 지침을 정의할 수 있습니다. 또한 보안 규칙을 준수하지 않는 보안 암호를 신속하게 식별하는 것은 물론 보안 암호의 구성 변경에 대한 Amazon SNS 알림을 받을 수 있습니다. 예를 들어, 순환하도록 구성되지 않은 보안 암호 목록에 대한 SNS 알림을 받는다면 보안 암호 순환과 관련된 보안 모범 사례를 구현할 수 있게 됩니다.

AWS Config 집계자 기능을 활용하여 전체 조직의 모든 계정 및 지역에 걸쳐 보안 암호 목록을 보고 적합성을 확인할 수 있으며, 이를 통해 조직 전체에 대한 보안 암호 관리의 모범 사례를 한 곳에서 만들 수 있습니다.

이 기능에 대해 자세히 알아보려면 AWS Config를 사용하여 Secrets Manager 보안 암호 모니터링 단원을 참조하십시오.

AWS Identity and Access Management(IAM)로 보안 암호 보호

Secrets Manager에서는 IAM을 사용하여 보안 암호에 대한 액세스를 보호합니다. IAM은 다음을 제공합니다.

  • 인증 – 요청하는 개인의 자격 증명을 확인합니다. Secrets Manager에서는 암호, 액세스 키 및 Multi-Factor Authentication(MFA) 토큰을 사용하여 사용자의 자격 증명을 입증합니다.

  • 권한 부여 – 승인된 개인만 AWS 리소스(예: 보안 암호)에 대한 작업을 수행할 수 있습니다. 그러면 특정 보안 암호에 대한 쓰기 권한을 특정 사용자에게 부여하고, 다른 보안 암호에 대한 읽기 전용 권한을 다른 사용자에게 부여할 수 있습니다.

IAM을 사용하여 보안 암호에 대한 액세스 권한을 보호하는 방법에 대한 자세한 내용은 본 설명서의 AWS Secrets Manager에 대한 인증 및 액세스 제어 단원을 참조하십시오. IAM에 대한 전체 내용은 IAM 사용 설명서를 참조하십시오.

AWS CloudTrail 및 Amazon CloudWatch를 사용하여 보안 암호 모니터링

CloudTrail 및 CloudWatch를 사용하여 보안 암호와 관련된 활동을 모니터링할 수 있습니다. CloudTrail에서는 AWS 서비스를 통해 AWS 리소스에 대한 API 활동을 캡처한 후 Amazon S3 버킷의 로그 파일에 씁니다. CloudWatch를 사용하면 이러한 로그 파일을 모니터링하여 해당 활동이 발생하면 작업을 트리거하는 규칙을 생성할 수 있습니다. 예를 들어, 다른 사용자가 새 보안 암호를 생성하거나 보안 암호가 교체될 경우 텍스트 메시지 알림을 받을 수 있습니다. 클라이언트가 현재 버전 대신 이전 버전의 보안 암호를 사용하려고 시도할 때 표시할 알림을 생성할 수도 있습니다. 그러면 문제를 해결하는 데 도움이 됩니다.

자세한 내용은 이 가이드의 AWS Secrets Manager 보안 암호 사용 모니터링을 참조하십시오. CloudWatch에 대한 전체 내용은 Amazon CloudWatch 사용 설명서를 참조하십시오. CloudWatch 이벤트에 대한 전체 내용은 Amazon CloudWatch Events 사용 설명서를 참조하십시오.

AWS KMS로 보안 암호 암호화

Secrets Manager에서는 신뢰할 수 있는 업계 표준 고급 암호화 표준(AES) 암호화 알고리즘(FIPS 197)을 사용하여 보안 암호를 암호화합니다. 또한 Secrets Manager에서는 AWS Key Management Service(AWS KMS)에서 제공하는 암호화 키를 사용하여 보안 암호 값에 대한 봉투 암호화를 수행합니다. 새 버전의 보안 암호를 생성하면 Secrets Manager에서는 지정된 AWS KMS 고객 마스터 키(CMK)를 사용하여 새 데이터 키를 생성합니다. 이 데이터 키는 256비트 대칭 AES 키로 구성됩니다. Secrets Manager에서는 데이터 키의 일반 텍스트 및 암호화된 복사본을 모두 수신합니다. Secrets Manager는 일반 텍스트 데이터 키를 사용해 보안 암호 값을 암호화한 후 보안 암호 버전의 메타데이터에 암호화된 데이터 키를 저장합니다. 나중에 Secrets Manager에 보안 암호 값을 검색하도록 요청을 전송하면 Secrets Manager에서는 먼저 메타데이터에서 암호화된 데이터 키를 검색한 다음 AWS KMS에 연결된 CMK를 사용하여 데이터 키를 복호화하도록 요청합니다. AWS KMS는 복호화된 데이터 키를 사용하여 보안 암호 값을 복호화하며, 키를 암호화되지 않은 상태로 저장하지 않고, 더 이상 필요하지 않은 경우 메모리에서 키를 즉시 제거합니다.

자세한 내용은 을 참조하십시오. 방법 AWS Secrets Manager 사용 AWS KMS 에서 AWS Key Management Service Developer Guide.

파라미터 스토어 API를 사용하여 보안 암호 검색

AWS 시스템 관리자 파라미터 스토어는 구성 데이터 관리 및 암호 관리를 위한 안전한 계층적 스토리지를 제공합니다. 암호, 데이터베이스 문자열, 라이선스 코드와 같은 데이터를 파라미터 값으로 저장할 수 있습니다. 하지만 파라미터 스토어에서는 저장된 보안 암호에 대한 자동 교체 서비스를 제공하지 않습니다. 대신, 파라미터 스토어를 사용하여 Secrets Manager에 보안 암호를 저장한 다음 해당 보안 암호를 파라미터 스토어 파라미터로 참조할 수 있습니다.

Secrets Manager를 사용하여 파라미터 스토어를 구성하는 경우 secret-id 파라미터 스토어의 이름 문자열 앞에 슬래시(/)가 필요합니다.

자세한 내용은 을 참조하십시오. 매개 변수 저장소 매개 변수에서 AWS 암호 관리자 암호 참조 에서 AWS 시스템 관리자 사용 설명서.

Secrets Manager과 Amazon Elastic Container Service 통합

Amazon ECS를 사용하면 Secrets Manager 보안에 중요한 데이터를 저장하여 컨테이너에 중요한 데이터를 삽입하고 컨테이너 정의에 참조합니다. Secrets Manager 비밀에 저장된 중요한 데이터는 환경 변수 또는 로그 구성의 일부로 컨테이너에 노출될 수 있습니다.

통합에 대한 자세한 내용은 중요한 데이터 보안 암호 지정을 참조하십시오.

자습서 비밀 관리자 비밀을 사용하여 중요 데이터 지정

Secrets Manager와 AWS Fargate 통합

AWS Fargate는 Amazon ECS 인스턴스의 서버나 클러스터를 관리할 필요 없이 컨테이너를 실행하기 위해 Amazon ECS에 사용할 수 있는 기술입니다. AWS Fargate를 사용하면 더 이상 컨테이너를 실행하기 위해 가상 머신의 클러스터를 프로비저닝, 구성 또는 조정할 필요가 없습니다. 따라서 서버 유형을 선택하거나, 클러스터를 조정할 시점을 결정하거나, 클러스터 패킹을 최적화할 필요가 없습니다.

Fargate 시작 유형 또는 Fargate 용량 공급자를 사용하여 Amazon Amazon ECS 작업과 서비스를 실행할 때는 애플리케이션을 컨테이너에 패키징하고, CPU 및 메모리 요구 사항을 지정한 다음, 네트워킹 및 IAM 정책을 정의하고, 애플리케이션을 시작합니다. 각 Fargate 작업에는 자체 격리 경계가 있으며 다른 작업과 기본 커널, CPU 리소스, 메모리 리소스 또는 탄력적 네트워크 인터페이스를 공유하지 않습니다.

Secrets Manager에서 보안 암호를 검색할 수 있도록 Fargate 인터페이스를 구성할 수 있습니다. 자세한 내용은 Fargate 작업 네트워킹을 참조하십시오.

Secrets Manager과 AWS IoT Greengrass 통합

AWS IoT Greengrass를 사용하면 하드 코딩된 암호, 토큰 또는 기타 암호를 사용하지 않고도 Greengrass 디바이스의 서비스와 애플리케이션에 인증할 수 있습니다.

AWS Secrets Manager를 사용하여 클라우드에서 보안 암호를 안전하게 저장하고 관리할 수 있습니다. AWS IoT Greengrass는 Secrets Manager를 Greengrass Core 디바이스로 확장하므로 커넥터와 Lambda 함수가 로컬 보안 암호를 사용하여 서비스 및 애플리케이션과 상호 작용할 수 있습니다. 예를 들어, Twilio 알림 커넥터는 로컬로 저장된 인증 토큰을 사용합니다.

보안 암호를 Greengrass 그룹에 통합하려면 Secrets Manager 보안 암호를 참조하는 그룹 리소스를 생성합니다. 이 보안 암호 리소스는 연결된 ARN을 사용하여 클라우드 보안 암호를 참조합니다. 보안 암호 리소스를 생성, 관리 및 사용하는 방법에 대한 자세한 내용은 AWS IoT 개발자 안내서의 보안 암호 리소스 작업을 참조하십시오.

AWS IoT Greengrass Core에 보안 암호를 배포하려면 AWS IoT Greengrass Core에 보안 암호 배포를 참조하십시오.

Secrets Manager으로 SageMaker 리포지토리 자격 증명 관리

SageMaker는 종합 관리형 기계 학습 서비스입니다. SageMaker를 통해 데이터 과학자와 개발자들은 기계 학습 모델을 빠르고 쉽게 구축하고 훈련시킬 수 있으며, 그리고 나서 이들 모델을 프로덕션 지원 호스팅 환경에 직접 배포할 수 있습니다. 탐색 및 분석에 필요한 데이터 원본에 대한 쉬운 액세스를 위해 내장형 Jupyter 작성 노트북 인스턴스를 제공하기 때문에 서버를 관리할 필요가 없습니다. 또한 분산된 환경 내 대규모 데이터를 효율적으로 실행하는 데 최적화된 일반 기계 학습 알고리즘 또한 제공합니다. BYOM(Bring-Your-Own-Algorithm) 및 프레임워크 기본 지원을 통해 SageMaker는 특정 워크플로에 맞춘 유연한 분산형 훈련 옵션을 제공합니다. SageMaker 콘솔에서 클릭 한 번으로 모델을 시작하고 안전하고 확장 가능한 환경으로 배포합니다.

Secrets Manager를 사용하여 프라이빗 리포지토리 자격 증명을 관리할 수 있습니다. Secrets Manager를 사용하여 프라이빗 리포지토리 자격 증명을 관리 할 수 있습니다.

자세한 내용은 Amazon SageMaker 노트북 인스턴스와 Git 리포지토리 연결을 참조하십시오.

Secrets Manager으로 AWS CodeBuild 레지스트리 자격 증명 저장

AWS CodeBuild는 클라우드상의 완전 관리형 빌드 서비스입니다. CodeBuild는 소스 코드를 컴파일하고 단위 테스트를 실행하며 배포할 준비가 완료된 아티팩트를 생성합니다. CodeBuild에서는 자체 빌드 서버를 프로비저닝, 관리 및 확장할 필요가 없습니다. 이 서비스는 Apache Maven, Gradle 등과 같은 널리 사용되는 프로그래밍 언어 및 빌드 도구에 맞게 사전 패키지된 빌드 환경을 제공합니다. CodeBuild에서 빌드 환경을 사용자 지정하여 사용자 고유의 빌드 도구를 사용할 수도 있습니다. CodeBuild는 최대 빌드 요청 수에 맞게 자동으로 확장합니다.

Secrets Manager를 사용하여 프라이빗 레지스트리 자격 증명을 저장할 수 있습니다. CodeBuild에 대한 AWS Secrets Manager 샘플이 포함된 프라이빗 레지스트리를 참조하십시오.

Secrets Manager으로 Amazon EMR 레지스트리 자격 증명 저장

Amazon EMR은 AWS에서 Apache Hadoop 및 Apache Spark와 같은 빅 데이터 프레임워크 실행을 간소화하는 관리형 클러스터 플랫폼입니다. 이러한 프레임워크와 함께 Apache Hive 및 Apache Pig와 같은 관련 오픈 소스 프로젝트를 사용하여 분석용 데이터와 비즈니스 인텔리전스 워크로드를 처리할 수 있습니다. 또한 Amazon EMR을 사용하여 Amazon Simple Storage Service(Amazon S3) 및 Amazon DynamoDB와 같은 기타 AWS 데이터 스토어 및 데이터베이스에서 많은 양의 데이터를 양방향으로 변환하고 이동할 수 있습니다.

Secrets Manager을 사용하여 프라이빗 Git 기반 레지스트리 자격 증명을 저장할 수 있습니다. Amazon EMR에 Git 기반 리포지토리 추가를 참조하십시오.

와 젤코바 통합 Secrets Manager 리소스 정책

Zelkova는 자동화된 추론을 사용하여 정책 및 정책의 향후 결과를 분석합니다. 여기에는 다음이 포함됩니다. AWS ID 및 액세스 관리(IAM) 정책, Amazon 단순 스토리지 서비스(S3) 정책, Secrets Manager 리소스 정책 및 기타 리소스 정책. 이러한 정책은 누가 어떤 리소스에 대해 작업을 수행할 수 있는지(또는 수행할 수 없는지)를 지정합니다. Zelkova는 자동화된 추론을 사용하기 때문에 더 이상 정책에 대해 어떤 질문을 해야 하는지 고민할 필요가 없습니다. 앞서 언급한 것처럼, Zelkova는 앞서 언급한 것처럼 정책에 대해 물어보아야 할 질문과 답변을 자동으로 도출하여 보안 구성에 대한 신뢰도를 높입니다.

Zelkova에 대한 추가 정보는 다음을 참조하십시오. AWS가 자동화된 추론을 사용하여 대규모 보안을 달성하는 방법 AWS 보안 블로그에서.