AWS Secrets Manager 보안 암호 삭제 - AWS Secrets Manager

AWS Secrets Manager 보안 암호 삭제

보안 암호의 중요한 특성으로 인해 AWS Secrets Manager에서는 의도적으로 보안 암호를 삭제하기 어렵게 되어 있습니다. Secrets Manager는 보안 암호를 바로 삭제하지 않습니다. 대신 Secrets Manager는 즉시 이 보안 암호에 액세스할 수 없도록 하고 최소 7일의 복구 기간 후에 삭제되도록 예약합니다. 복구 기간이 끝날 때까지 이전에 삭제한 보안 암호를 복구할 수 있습니다. 삭제하도록 표시한 보안 암호에 대해서는 요금이 부과되지 않습니다.

다른 리전에 복제된 기본 보안 암호는 삭제할 수 없습니다. 우선 복제본을 삭제한 다음 기본 보안 암호를 삭제합니다. 복제본을 삭제할 경우, 즉시 삭제됩니다.

또한 보안 암호 버전을 직접 삭제할 수 없습니다. 대신 AWS CLI 또는 AWS SDK를 사용하여 모든 스테이징 레이블을 버전에서 제거합니다. 이는 버전을 사용 중지 상태로 표시하고 Secrets Manager가 배경에서 해당 버전을 자동으로 삭제할 수 있게 합니다.

애플리케이션에서 보안 암호가 여전히 사용 중인지 모르는 경우 복구 기간 중에 보안 암호에 액세스하려고 하면 알려주는 Amazon CloudWatch 경보를 생성할 수 있습니다. 자세한 정보는 삭제하도록 예약된 AWS Secrets Manager 보안 암호에 언제 액세스했는지 모니터링을(를) 참조하세요.

보안 암호를 삭제하려면 secretsmanager:ListSecretssecretsmanager:DeleteSecret 권한이 있어야 합니다.

Secrets Manager는 암호를 삭제할 때 CloudTrail 로그 항목을 생성합니다. 자세한 내용은 AWS CloudTrail을(를) 사용하여 AWS Secrets Manager 이벤트 로깅 단원을 참조하십시오.

보안 암호(콘솔)를 삭제하려면
  1. https://console.aws.amazon.com/secretsmanager/에서 Secrets Manager 콘솔을 엽니다.

  2. 보안 암호 목록에서 삭제할 보안 암호를 선택합니다.

  3. 보안 암호 세부 정보(Secret details) 섹션에서 작업(Actions)을 선택한 후 보안 암호 삭제(Delete secret)를 선택합니다.

  4. 보안 암호 사용 중지 및 삭제 예약(Disable secret and schedule deletion) 대화 상자에서 대기 기간(Waiting period)에 영구적으로 삭제되기 전까지 대기할 일수를 입력합니다. Secrets Manager는 DeletionDate라는 필드를 연결하고 해당 필드를 현재 날짜 및 시간에, 복구 기간에 지정된 일수를 더한 값으로 설정합니다.

  5. 삭제 예약(Schedule deletion)을 선택합니다.

삭제된 보안 암호를 보려면
  1. https://console.aws.amazon.com/secretsmanager/에서 Secrets Manager 콘솔을 엽니다.

  2. 보안 암호(Secrets) 페이지에서 기본 설정(Preferences)( Gear icon representing settings or configuration options. )을 선택합니다.

  3. 기본 설정 대화 상자에서 삭제 예정 암호 표시을 선택한 후 저장를 선택합니다.

복제본 보안 암호를 삭제하려면
  1. https://console.aws.amazon.com/secretsmanager/에서 Secrets Manager 콘솔을 엽니다.

  2. 기본 보안 암호를 선택합니다.

  3. 보안 암호 복제(Replicate Secret) 섹션에서 복제본 보안 암호를 선택합니다.

  4. 작업(Actions) 메뉴에서 복제본 삭제(Delete Replica)를 선택합니다.

AWS CLI

예 보안 암호 삭제

다음 delete-secret 예시에서는 보안 암호를 삭제합니다. DeletionDate 응답 필드의 날짜 및 시간까지 restore-secret로 보안 암호를 복구할 수 있습니다. 다른 리전에 복제된 보안 암호를 삭제하려면 먼저 remove-regions-from-replication(으)로 해당 복제본을 삭제한 다음 delete-secret을(를) 호출합니다.

aws secretsmanager delete-secret \ --secret-id MyTestSecret \ --recovery-window-in-days 7
예 보안 암호 즉시 삭제

다음 delete-secret 예시는 복구 기간 없이 즉시 보안 암호를 삭제합니다. 이러한 보안 암호는 복구할 수 없습니다.

aws secretsmanager delete-secret \ --secret-id MyTestSecret \ --force-delete-without-recovery
예 복제본 보안 암호 삭제

다음 remove-regions-from-replication 예시에서는 eu-west-3의 복제 보안 암호를 삭제합니다. 다른 리전에 복제된 기본 보안 암호를 삭제하려면 먼저 복제본을 삭제한 다음 delete-secret을(를) 호출합니다.

aws secretsmanager remove-regions-from-replication \ --secret-id MyTestSecret \ --remove-replica-regions eu-west-3

AWS SDK

보안 암호를 삭제하려면 DeleteSecret 명령을 사용합니다. 보안 암호의 버전을 삭제하려면 UpdateSecretVersionStage 명령을 사용합니다. 복제본을 삭제하려면 StopReplicationToReplica 명령을 사용합니다. 자세한 내용은 AWS SDK 단원을 참조하십시오.