AWS Secrets Manager 복제 방지 - AWS Secrets Manager

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Secrets Manager 복제 방지

ReplicateSecretToRegions사용하거나 를 사용하여 암호를 만들 때 암호를 복제할 수 있으므로 사용자가 암호를 복제하지 못하도록 하려면 매개 변수가 포함된 작업을 금지하는 것이 좋습니다. CreateSecretAddReplicaRegions 권한 정책에 Condition 명령문을 사용하여 복제 영역을 추가하지 않는 작업만 허용할 수 있습니다. 사용할 수 있는 조건문에 대한 다음 정책 예제를 참조하십시오.

예 복제 권한 방지

다음 정책 예제는 복제 영역을 추가하지 않는 모든 작업을 허용하는 방법을 보여줍니다. 이렇게 하면 사용자가 및 ReplicateSecretToRegions 를 통해 암호를 복제할 수 없습니다. CreateSecret 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:*",
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:AddReplicaRegions": "true"
        }
      }
    }
  ]
}
예 특정 지역에 대한 복제 권한만 허용

다음 정책은 다음을 모두 허용하는 방법을 보여줍니다.

  • 복제 없이 시크릿 생성

  • 미국과 캐나다의 지역에만 복제하여 시크릿을 생성합니다.

  • 비밀번호는 미국 및 캐나다의 지역에만 복제할 수 있습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:ReplicateSecretToRegions"
      ],
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringLike": {
          "secretsmanager:AddReplicaRegions": [
            "us-*",
            "ca-*"
          ]
        }
      }
    }
  ]
}