AWS Secrets Manager이란 무엇입니까? - AWS Secrets Manager

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Secrets Manager이란 무엇입니까?

과거에는 데이터베이스에서 정보를 검색하는 사용자 지정 애플리케이션을 생성하면 일반적으로 데이터베이스에 액세스하기 위한 자격 증명(보안 암호)을 애플리케이션에 직접 포함시켰습니다. 자격 증명을 교체할 시기가 되면 새 자격 증명을 생성하는 것보다 더 많은 작업을 해야 했습니다. 시간을 들여 새 자격 증명을 사용하도록 애플리케이션을 업데이트해야 했습니다. 그런 다음 업데이트된 애플리케이션을 배포했습니다. 자격 증명을 공유하는 애플리케이션이 여러 개 있는데 이러한 애플리케이션 중 하나를 업데이트하지 못한 경우 해당 애플리케이션에 오류가 발생합니다. 이러한 위험 때문에 많은 고객들은 정기적으로 자격 증명을 교체하지 않기로 결정하며, 이 위험 대신 다른 위험에 직면하게 됩니다.

Secrets Manager는 코드의 암호를 포함해 하드 코딩된 자격 증명을 Secrets Manager에서 프로그래밍 방식으로 보안 암호를 검색하도록 하는 API 호출로 바꿀 수 있습니다. 이렇게 하면 보안 암호가 코드에 더 이상 존재하지 않기 때문에 코드를 검사하는 누군가에 의해 보안 암호가 손상되지 않도록 방지할 수 있습니다. 또한 사용자가 지정된 일정에 따라 Secrets Manager가 자동으로 보안 암호를 교체하도록 구성할 수 있습니다. 따라서 단기 보안 암호로 장기 보안 암호를 교체할 수 있어 손상 위험이 크게 줄어듭니다.

Secrets Manager 시작하기

Secrets Manager를 최대한 활용하기 위해 여러분이 이해해야 하는 용어 및 개념 목록은 의 주요 용어 및 개념 AWS Secrets Manager 단원을 참조하십시오.

Secrets Manager의 일반적인 사용자에게는 다음 역할 중 하나 이상이 있을 수 있습니다.

  • Secrets Manager 관리자 – Secrets Manager 서비스를 관리합니다. 여기 나열된 다른 역할을 수행할 수 있는 개인에게 권한을 부여합니다.

  • 데이터베이스 또는 서비스 관리자 – 보안 암호가 Secrets Manager에 저장된 서비스 또는 데이터베이스를 관리합니다. 자신의 보안 암호에 대한 교체 및 만료 설정을 결정하고 구성합니다.

  • 애플리케이션 개발자 – 애플리케이션을 생성하고 Secrets Manager가 적절한 자격 증명을 요청하도록 애플리케이션을 구성합니다.

기본 Secrets Manager 시나리오

다음은 이 기본 시나리오를 설명한 다이어그램입니다. 이 다이어그램은 Secrets Manager에 데이터베이스의 자격 증명을 저장한 후 이 데이터베이스에 액세스하기 위해 애플리케이션에서 자격 증명을 사용하는 방법을 보여줍니다.

  1. 데이터베이스 관리자는 MyCustomApp. 관리자는 또한 애플리케이션이 직원 데이터베이스에 액세스하는 데 필요한 권한으로 이러한 자격 증명을 구성합니다.

  2. 데이터베이스 관리자가 자격 증명을 비밀로 저장합니다. Secrets Manager 이름 MyCustomAppCreds. 그런 다음, Secrets Manager 는 암호 내에 자격 증명을 암호화하고 보호된 비밀 텍스트.

  3. 언제 MyCustomApp 데이터베이스 액세스, 애플리케이션 쿼리 Secrets Manager 라는 이름의 비밀을 위해 MyCustomAppCreds.

  4. Secrets Manager는 이 보안 암호를 검색하고 보호되는 보안 암호 텍스트의 암호를 해독해 보안(TLS를 통한 HTTPS) 채널을 통해 클라이언트 앱에 보안 암호를 반환합니다.

  5. 이 클라이언트 애플리케이션은 응답에서 자격 증명, 연결 문자열 및 기타 필요한 정보를 구문 분석한 다음 이러한 정보를 사용해 데이터베이스 서버에 액세스합니다.

참고

Secrets Manager는 많은 유형의 보안 암호를 지원합니다. 그러나 Secrets Manager는 기본적으로 추가 프로그래밍 없이 지원되는 AWS 데이터베이스에 대한 자격 증명을 교체할 수 있습니다. 그러나 다른 데이터베이스 또는 서비스에 대한 보안 암호를 교체하려면 Secrets Manager가 데이터베이스 또는 서비스와 상호 작용하는 방식을 정의하는 사용자 지정 Lambda 함수를 생성해야 합니다. 이러한 함수를 생성하려면 몇 가지 프로그래밍 기술이 필요합니다. 자세한 정보는 AWS Secrets Manager 보안 암호 교체 단원을 참조하십시오.

Secrets Manager의 특징

런타임에 암호화된 암호 값을 프로그래밍 방식으로 검색

Secrets Manager를 사용하면 애플리케이션 소스 코드에서 하드 코딩된 자격 증명을 제거하고 애플리케이션 자체에 자격 증명을 저장하지 않음으로써 보안 상태를 개선할 수 있습니다. 애플리케이션에 자격 증명을 저장하면 애플리케이션 또는 애플리케이션의 구성 요소를 조사할 수 있는 모든 사람으로 인해 자격 증명이 손상될 수 있습니다. 이전 자격 증명을 사용 중지하기 전에 애플리케이션을 업데이트하고 모든 클라이언트에 변경 사항을 배포해야 하기 때문에 자격 증명을 교체하는 것이 어려워집니다.

Secrets Manager를 통해 저장된 자격 증명을 Secrets Manager 웹 서비스에 대한 런타임 호출로 바꿀 수 있으며 필요할 때 자격 증명을 동적으로 검색할 수 있습니다.

대부분의 경우 고객은 암호화된 보안 암호 값의 최신 버전에 액세스하고자 합니다. 암호화된 보안 암호 값을 쿼리하는 경우 버전 정보를 전혀 지정하지 않고 보안 암호 이름 또는 Amazon 리소스 이름(ARN)만 제공하도록 선택할 수 있습니다. 이렇게 하면 Secrets Manager는 자동으로 보안 암호 값의 최신 버전을 반환합니다.

하지만 다른 버전도 동시에 존재할 수 있습니다. 대부분의 시스템에서는 연결 세부 정보, 사용자 ID 및 암호가 포함된 전체 자격 증명 세트와 같이 단순한 암호보다 복잡한 보안 암호를 지원합니다. Secrets Manager를 사용하면 이러한 자격 증명을 동시에 여러 세트 저장할 수 있습니다. Secrets Manager는 각 세트를 서로 다른 버전의 보안 암호로 저장합니다. 보안 암호 교체 프로세스 동안 Secrets Manager에서는 교체가 완료될 때까지 이전 자격 증명과 사용하려는 새 자격 증명을 추적합니다. 스테이징 레이블을 사용하여 이렇게 서로 다른 버전을 추적할 수 있습니다.

다양한 유형의 비밀 저장

Secrets Manager에서는 텍스트를 보안 암호의 암호화된 보안 암호 데이터로 저장할 수 있습니다. 일반적으로 여기에는 데이터베이스나 서비스의 연결 세부 정보가 포함됩니다. 세부 정보에는 서버 이름, IP 주소 및 포트 번호 등과 같이 서비스에 로그인하는 데 사용되는 사용자 이름 및 암호 등이 포함될 수 있습니다. 보안 암호에 대한 자세한 내용은 최대 및 최소값을 참조하십시오. 다음은 보호되는 텍스트에 포함되지 않습니다.

  • 보안 암호 이름 및 설명

  • 교체 또는 만료 설정

  • 보안 암호와 연결된 AWS KMS 고객 마스터 키(CMK)의 ARN입니다.

  • 연결된 모든 AWS 태그

비밀 데이터 암호화

Secrets Manager는 보호되는 보안 암호 테스트를 AWS Key Management Service(AWS KMS)를 사용하여 암호화합니다. 여러 AWS 서비스에서 키 저장 및 암호화에 AWS KMS를 사용합니다. AWS KMS는 유휴 시 보안 암호의 보안 암호화를 지원하며, Secrets Manager는 모든 보안 암호를 AWS KMS CMK와 연결합니다. 계정에 대한 Secrets Manager용 기본 CMK를 사용하거나 고객이 만든 CMK를 사용할 수 있습니다.

Secrets Manager에서 새 버전의 보호된 보안 암호 데이터를 암호화할 때마다 Secrets Manager는 AWS KMS에 지정된 CMK에서 새 데이터 키를 생성하도록 요청합니다. Secrets Manager는 봉투 암호화에 이 데이터 키를 사용합니다. Secrets Manager는 암호화한 데이터 키를 보호된 보안 암호 데이터와 함께 저장합니다. 보안 암호를 해독해야 할 때마다 Secrets Manager는 데이터 키를 해독하도록 AWS KMS에 요청하며 이에 따라 Secrets Manager는 보호 보안 암호 데이터를 해독합니다. Secrets Manager은 데이터 키를 암호화하지 않은 형태로 저장하지 않으며 사용 후에는 언제나 데이터 키를 즉시 폐기합니다.

또한 Secrets Manager는 기본적으로 개방형 표준 전송 계층 보안(TLS)완벽한 전송 보안을 사용하는 호스트에서 보낸 요청만 수락합니다. 따라서 Secrets Manager는 AWS와 보안 암호를 검색하는 데 사용하는 컴퓨터 간에 보안 암호를 전송할 때에도 암호화되도록 보장합니다.

자동으로 비밀 회전

사용자의 개입 없이 지정한 일정에 따라 자동으로 보안 암호를 교체하도록 Secrets Manager를 구성할 수 있습니다.

교체는 AWS Lambda 함수를 사용하여 정하고 실행합니다. 이 함수는 다음과 같이 Secrets Manager에서 다음 작업을 수행하는 방법을 정의합니다.

  • 새로운 버전의 보안 암호를 생성합니다.

  • Secrets Manager에 보안 암호를 저장합니다.

  • 새 버전을 사용하도록 보호된 서비스를 구성합니다.

  • 새 버전을 확인합니다.

  • 새 버전을 프로덕션용으로 표시합니다.

스테이징 레이블을 사용하면 보안 암호의 여러 버전을 추적할 수 있습니다. 각 버전에는 스테이징 레이블이 여러 개 연결될 수 있지만, 각 스테이징 레이블은 한 가지 버전에만 연결할 수 있습니다. 예를 들어 Secrets Manager는 현재 사용 중인 보안 암호의 활성 버전에 AWSCURRENT 레이블을 지정합니다. 항상 최신 보안 암호 버전을 쿼리하도록 애플리케이션을 구성해야 합니다. 교체 프로세스에서 보안 암호의 새 버전을 생성하는 경우 테스트 및 검증이 완료될 때까지 Secrets Manager는 AWSPENDING 스테이징 레이블을 새 버전에 자동으로 추가합니다. 그런 다음에만 Secrets Manager는 새 버전에 AWSCURRENT 스테이징 레이블을 추가합니다. 애플리케이션에서 다음에 AWSCURRENT 버전을 쿼리하면 바로 새 보안 암호를 사용하기 시작합니다.

완벽하게 구성되고 즉시 사용할 수 있는 회전 지원 데이터베이스

교체를 활성화하도록 선택하면 Secrets Manager에서는 다음 Amazon Relational Database Service(Amazon RDS) 데이터베이스에서 AWS가 작성하고 테스트한 Lambda 교체 함수 템플릿 및 교체 프로세스의 전체 구성을 지원합니다.

  • Amazon RDS의 Amazon Aurora

  • Amazon RDS의 MySQL

  • Amazon RDS의 PostgreSQL

  • Amazon RDS의 Oracle

  • Amazon RDS의 MariaDB

  • Amazon RDS의 Microsoft SQL Server

완전히 구성되고 즉시 사용할 수 있는 회전 지원 기능이 있는 기타 서비스

AWS가 작성하고 테스트한 Lambda 교체 함수 템플릿 및 교체 프로세스의 전체 구성을 완전히 지원하는 다음 서비스에서 교체를 활성화하도록 선택할 수 있습니다.

  • Amazon DocumentDB

  • Amazon Redshift

대부분의 다른 유형 데이터베이스 또는 서비스에 대한 보안 암호를 저장할 수도 있습니다. 하지만 보안 암호를 자동으로 교체하기 위해서는 사용자 지정 Lambda 교체 함수를 생성하고 구성해야 합니다. 데이터베이스 또는 서비스에 대한 사용자 지정 Lambda 함수 작성 방법에 대한 자세한 정보는 개요 Lambda 회전 기능 단원을 참조하십시오.

비밀에 대한 액세스 제어

특정 보안 암호에 대한 액세스 권한을 부여하거나 거부하려는 사용자, 그룹 및 역할에 AWS Identity and Access Management(IAM) 권한 정책을 연결해 해당 보안 암호의 관리를 제한할 수 있습니다. 예를 들어, 보안 암호를 완전히 관리 및 구성하는 권한이 필요한 구성원이 있는 그룹에 정책 하나를 연결할 수 있습니다. 애플리케이션에서 사용하는 역할에 연결된 다른 정책은 애플리케이션이 실행되는 데 필요한 보안 암호에 대한 읽기 권한만 부여할 수 있습니다.

또는 보안 암호에 직접 리소스 기반 정책을 연결해 보안 암호 및 해당 버전을 읽거나 수정할 수 있는 사용자를 지정하는 권한을 부여할 수 있습니다. 사용자, 그룹 또는 역할에 자동으로 적용되는 자격 증명 기반 정책과 달리 보안 암호에 연결된 리소스 기반 정책은 Principal 요소를 사용하여 정책의 대상을 식별합니다. Principal 요소는 다른 계정의 보안 암호나 보안 주체와 동일한 계정의 사용자 및 역할을 포함할 수 있습니다.

Secrets Manager 액세스

다음 방법 중 하나를 사용하여 Secrets Manager에서 작업할 수 있습니다.

AWS Management Console

브라우저 기반 Secrets Manager 콘솔을 사용하여 보안 암호를 관리하고 보안 암호와 관련된 거의 모든 작업을 수행할 수 있습니다.

현재, 콘솔에서는 다음 작업을 수행할 수 없습니다.

  • 보안 암호에 이진수 데이터를 저장합니다. 콘솔은 현재 보안 암호의 SecretString 필드에만 데이터를 저장하며, SecureBinary 필드를 사용하지 않습니다. 바이너리 데이터를 저장하려면 현재 AWS CLI 또는 AWS SDKs.

AWS 명령줄 도구

AWS 명령줄 도구를 통해 시스템 명령줄에서 명령을 실행하여 Secrets Manager 및 다른 AWS 작업을 수행할 수 있습니다. 명령줄을 사용하는 것이 콘솔을 사용하는 것보다 더 빠르고 편리할 수 있습니다. AWS 작업을 수행하는 스크립트를 작성할 때도 명령줄 도구가 유용할 수 있습니다.

AWS에서는 AWS Command Line Interface(AWS CLI) 및 Windows PowerShell용 AWS 도구라는 두 가지 명령줄 도구 세트를 제공합니다. AWS CLI 설치 및 사용에 대한 자세한 정보는 AWS Command Line Interface 사용 설명서를 참조하십시오. Windows PowerShell용 도구 설치 및 사용에 대한 자세한 정보는 Windows PowerShell용 AWS 도구 사용 설명서 단원을 참조하십시오.

AWS SDKs

더 AWS SDKs 다양한 프로그래밍 언어와 플랫폼에 대한 라이브러리와 샘플 코드로 구성됩니다. 자바, 비단뱀 가죽, 루비, .순, iOS 및 안드로이드, 및 기타. 더 SDKs 에는 암호 서명 요청, 오류 관리 및 자동으로 요청 재시도와 같은 작업이 포함됩니다. AWS에 대한 자세한 내용은 SDKs다운로드 및 설치 방법을 비롯한 자세한 내용은 Amazon 웹 서비스용 도구.

Secrets Manager HTTPS 쿼리 API

Secrets Manager HTTPS 쿼리 API를 사용하여 Secrets Manager 및 AWS에 프로그래밍 방식으로 액세스할 수 있습니다. HTTPS 쿼리 API를 이용하면 HTTPS 요청을 서비스에 직접 보낼 수 있습니다. HTTPS API를 사용할 때는 자격 증명을 사용하여 요청에 디지털 방식으로 서명하는 코드를 포함해야 합니다. 자세한 정보는 HTTP 쿼리 요청을 통한 API 호출AWS Secrets Manager API 참조를 참조하십시오.

참고

HTTPS 쿼리 API를 사용하는 대신 선호하는 프로그래밍 언어와 관련된 SDK를 사용하는 것이 좋습니다. SDK는 사용자가 수동으로 수행하는 많은 유용한 작업을 수행합니다. 더 SDKs 자동으로 요청에 서명하고 응답을 귀하의 언어에 적합한 구조 구문으로 변환합니다. SDK를 사용할 수 없는 경우에만 HTTPS 쿼리 API를 사용합니다.

Secrets Manager 가격

Secrets Manager를 사용할 경우 사용하는 내역에 대해서만 지불하며 최소 또는 설정 요금이 없습니다. 현재 기준의 전체적인 요금 목록은 AWS Secrets Manager 요금을 참조하십시오.

AWS KMS – 사용자 지정 암호화 키

AWS KMS를 사용하여 자체 고객 마스터 키를 작성하고 보안 암호를 암호화하는 경우 AWS에서 현재 AWS KMS 요금이 청구됩니다. 하지만 AWS Secrets Manager가 계정에 대해 생성하는 "기본" 키를 무료로 사용할 수 있습니다. 고객 생성 AWS KMS 키 비용에 대한 자세한 정보는 AWS Key Management Service 요금을 참조하십시오.

AWS CloudTrail 로깅 – 저장 및 알림

계정에 대해 AWS CloudTrail을 활성화하면 AWS Secrets Manager에서 전송한 API 호출에 대한 로그를 얻을 수 있습니다. Secrets Manager는 모든 이벤트를 관리 이벤트로 기록합니다. 데이터 이벤트는 없습니다. 관리 이벤트를 캡처하기 위해 AWS CloudTrail에서 단일 추적을 캡처하는 데 발생하는 추가 요금은 없습니다. AWS CloudTrail에서는 모든 관리 이벤트의 첫 사본이 무료로 저장됩니다. 하지만 알림을 활성화한 경우 로그 스토리지용 Amazon S3 및 Amazon SNS에 대한 비용이 발생할 수 있습니다. 또한 추적을 추가로 설정한 경우 관리 이벤트의 추가 사본으로 인해 비용이 발생할 수 있습니다. 자세한 정보는 AWS CloudTrail 요금 페이지를 참조하십시오.