AWS Secrets Manager 보안 암호에 대한 관리형 교체

일부 서비스는 서비스에서 자동으로 교체를 구성하고 관리하는 관리형 교체를 제공합니다. 관리형 교체를 사용하면 데이터베이스의 보안 암호 및 보안 인증 정보를 업데이트하기 위해 AWS Lambda 함수를 사용하지 않습니다. 다음 서비스는 관리형 교체를 제공합니다:

• Amazon ECS Service AWS Private Certificate Authority Connect는 TLS 인증서에 대한 관리형 교체 기능을 제공합니다. 자세한 내용은 Amazon Elastic 컨테이너 서비스 개발자 안내서의 서비스 연결을 통한 TLS를 참조하십시오.

• Amazon RDS는 마스터 사용자 보안 인증에 관리형 교체를 제공합니다. 자세한 내용은 Amazon RDS 사용 설명서의 Amazon RDS 및 AWS Secrets Manager을(를) 사용한 암호 관리를 참조하세요.

• Amazon Aurora는 마스터 사용자 보안 인증에 관리형 교체를 제공합니다. 자세한 내용은 Amazon Aurora 사용 설명서의 Amazon Aurora 및 AWS Secrets Manager을(를) 사용한 암호 관리를 참조하세요.

• Amazon Redshift는 관리자 암호에 대한 관리 교체 기능을 제공합니다. 자세한 내용은 Amazon Redshift 관리 안내서의 AWS Secrets Manager을(를) 사용하는 Amazon Redshift 관리자 암호 관리를 참조하세요.

다른 유형의 보안 암호에 대해서는 보안 암호 교체 섹션을 참조하세요.

관리형 보안 암호의 교체는 일반적으로 1분 이내에 완료됩니다. 교체 중에 보안 암호를 검색하는 새 연결은 이전 버전의 보안 인증 정보를 가져올 수 있습니다. 애플리케이션에서는 마스터 사용자를 사용하는 대신에 애플리케이션에 필요한 최소한의 권한으로 생성한 데이터베이스 사용자를 사용하는 모범 사례를 따르는 것이 좋습니다. 애플리케이션 사용자의 경우 가용성을 극대화하기 위해 대체 사용자 교체 전략을 사용할 수 있습니다.

관리형 교체 일정 변경하기 (콘솔)

1. Secrets Manager 콘솔에서 관리형 보안 암호를 엽니다. 관리 서비스에서 링크를 따라가거나 Secrets Manager 콘솔에서 보안 암호를 검색할 수 있습니다.

2. Rotation schedule(교체 일정)에서 Schedule expression builder(예약 표현식 빌더) 또는 Schedule expression(예약 표현식)으로 일정(UTC 표준 시간대)을 입력합니다. Secrets Manager는 일정을 rate() 또는 cron() 표현식으로 저장합니다. 교체 기간은 Start time(시작 시간)을 지정하지 않는 한 자정에 자동으로 시작됩니다. 보안 암호를 4시간마다 교체할 수 있습니다. 자세한 설명은 예약 표현식 섹션을 참조하세요.

3. (선택 사항) Window duration(지속 시간)에서 Secrets Manager가 보안 암호를 교체할 기간의 길이를 입력합니다. 예를 들어 3h는 3시간입니다. 기간은 그 다음 교체 기간까지 연장되지 않아야 합니다. 시간 단위의 교체 일정에서 지속 시간을 지정하지 않으면 한 시간 후에 자동으로 종료됩니다. 일 단위의 교체 일정인 경우 해당 날짜의 하루가 끝나면 자동으로 종료됩니다.

4. 저장을 선택합니다.

관리형 교체 일정 변경하기 (AWS CLI)

• rotate-secret을 호출합니다. 다음 예에서는 매월 1일과 15일 16:00 ~ 18:00 (UTC) 사이에 암호가 교체됩니다. 자세한 내용은 예약 표현식을(를) 참조하세요.

  aws secretsmanager rotate-secret \
      --secret-id MySecret \
      --rotation-rules "{\"ScheduleExpression\": \"cron(0 16 1,15 * ? *)\", \"Duration\": \"2h\"}"