보안 암호 교체를 지원하도록 네트워크 구성 - AWS Secrets Manager

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안 암호 교체를 지원하도록 네트워크 구성

보안 암호를 성공적으로 교체하려면 Lambda 교체 함수가 보호된 데이터베이스 또는 서비스 및 AWS Secrets Manager 서비스와 모두 통신할 수 있어야 합니다. 교체 함수는 사용자 암호를 새 값으로 업데이트하도록 데이터베이스 또는 다른 서비스로 요청을 보냅니다. 또한 이 함수는 Secrets Manager API 작업을 호출하여 교체 프로세스에 포함되는 보안 암호를 검색하고 업데이트합니다. Amazon RDS 인스턴스 또는 다른 보안 암호로 보호된 서비스가 Amazon VPC에서 제공되는 Virtual Private Cloud(VPC)에서 실행되는 경우 다음 주요 단계를 수행하여 필요한 연결을 활성화해야 합니다.

  • 함수와 데이터베이스 인스턴스 간 통신을 활성화하도록 Lambda 교체 함수를 구성합니다. Secrets Manager에서 완벽하게 지원되는 데이터베이스 서비스 중 하나를 사용하는 경우 함수를 생성하는 AWS CloudFormation 템플릿은 데이터베이스 인스턴스에 대한 퍼블릭 액세스 가능성을 결정합니다.

    • 보호된 서비스가 VPC에서 실행되고 공개적으로 액세스할 수 없는 경우 AWS CloudFormation 템플릿은 Lambda 교체 함수를 동일한 VPC에서 실행하도록 구성합니다. 이 시나리오에서 교체 함수는 VPC 내의 보호된 서비스와 직접 통신할 수 있습니다.

    • VPC에 있는지 여부에 상관없이 보호된 서비스를 공개적으로 액세스 가능한 리소스로 실행하는 경우 AWS CloudFormation 템플릿은 Lambda 교체 함수를 VPC에서 실행하지 않도록 구성합니다. 이 시나리오에서 Lambda 교체 함수는 공개적으로 액세스 가능한 연결 지점을 통해 보호된 서비스와 통신합니다.

    교체 함수를 수동으로 구성하고 VPC에 추가하려면 함수의 세부 정보 페이지에서 아래로 스크롤하여 네트워킹 섹션으로 이동한 후 목록에서 적절한 VPC를 선택합니다.

  • VPC에서 실행 중인 Lambda 교체 함수와 Secrets Manager 서비스 엔드포인트 간 통신을 활성화하도록 VPC를 구성합니다. 기본적으로 Secrets Manager 엔드포인트는 퍼블릭 인터넷에서 실행됩니다. Lambda 교체 함수와 보호된 데이터베이스 또는 서비스를 VPC에서 실행할 경우 다음 단계 중 하나를 수행해야 합니다.

    • NAT 게이트웨이를 VPC에 추가하여 퍼블릭 Secrets Manager 엔드포인트에 액세스하도록 Lambda 함수를 활성화할 수 있습니다. 그러면 VPC에서 생성되는 트래픽이 퍼블릭 Secrets Manager 엔드포인트에 도달할 수 있습니다. 이렇게 하면 게이트웨이에 대한 IP 주소가 퍼블릭 인터넷에서 공격을 받을 수 있으므로 VPC가 위험 수준으로 노출됩니다.

    • VPC에서 직접 Secrets Manager 서비스 엔드포인트를 구성할 수 있습니다. 이때 퍼블릭 리전 엔드포인트에 전달되는 모든 요청을 가로챈 후 VPC에서 실행 중인 프라이빗 서비스 엔드포인트로 리디렉션하도록 VPC를 구성합니다. 자세한 내용은 VPC 엔드포인트를 통해 Secrets Manager로 연결을 참조하십시오.