Amazon Aurora 및 AWS Secrets Manager를 통한 암호 관리

Amazon Aurora는 Secrets Manager와 통합되어 DB 클러스터의 마스터 사용자 암호를 관리합니다.

리전 및 버전 사용 가능 여부

기능 가용성 및 해당 지원은 각 데이터베이스 엔진의 특정 버전 및 AWS 리전에 따라 다릅니다. 버전 및 Secrets Manager와 Amazon Aurora통합의 리전 가용성에 대한 자세한 내용은 Secrets Manager 통합을 지원하는 리전 및 Aurora DB 엔진을 참조하세요.

Secrets Manager와 Amazon Aurora 통합에 대한 제한 사항

다음 기능에서는 Secrets Manager를 사용한 마스터 사용자 암호 관리가 지원되지 않습니다.

AWS Secrets Manager를 통한 마스터 사용자 암호 관리 개요

AWS Secrets Manager를 사용하면 데이터베이스 암호를 포함한 하드 코딩된 보안 인증 정보를 Secrets Manager에서 프로그래밍 방식으로 비밀을 검색하게 하는 API 호출로 바꿀 수 있습니다. Secrets Manager 사용에 대한 자세한 내용은 AWS Secrets Manager 사용 설명서를 참조하세요.

Secrets Manager에 데이터베이스 암호를 저장하면 AWS 계정에서 요금을 부과합니다. 요금에 대한 자세한 내용은 AWS Secrets Manager 요금을 참조하십시오.

다음 작업 중 하나를 수행할 때 Aurora가 Secrets Manager에서 Amazon Aurora DB 클러스터의 마스터 사용자 암호를 관리하도록 지정할 수 있습니다.

Aurora가 Secrets Manager에서 마스터 사용자 암호를 관리하도록 지정하면 Aurora가 암호를 생성하여 Secrets Manager에 저장합니다. 암호와 직접 상호 작용하여 마스터 사용자의 보안 인증 정보를 검색할 수 있습니다. 고객 관리 키를 지정하여 암호를 암호화하거나 Secrets Manager에서 제공하는 KMS 키를 사용할 수도 있습니다.

Aurora는 비밀 설정을 관리하고 기본적으로 7일마다 비밀을 교체합니다. 교체 일정 같은 일부 설정을 수정할 수 있습니다. Secrets Manager에서 암호를 관리하는 DB 클러스터를 삭제하면 암호 및 관련 메타데이터도 삭제됩니다.

비밀의 보안 인증 정보를 사용하여 DB 클러스터에 연결하려면 Secrets Manager에서 비밀을 검색하면 됩니다. 자세한 내용은 AWS Secrets Manager 사용 설명서의 AWS Secrets Manager에서 비밀 검색 및 AWS Secrets Manager 비밀에 있는 보안 인증 정보를 사용하여 SQL 데이터베이스에 연결을 참조하세요.

Secrets Manager를 통한 마스터 사용자 암호 관리의 이점

Secrets Manager를 사용하여 Aurora 마스터 사용자 암호를 관리하면 다음과 같은 이점이 있습니다.

Secrets Manager의 이점에 대한 자세한 내용은 AWS Secrets Manager 사용 설명서를 참조하세요.

Secrets Manager 통합에 필요한 권한

사용자는 Secrets Manager 통합과 관련된 작업을 수행하는 데 필요한 권한이 있어야 합니다. 사용자에게 필요한 지정된 리소스에서 특정 API 작업을 수행할 수 있는 권한을 부여하는 IAM 정책을 생성할 수 있습니다. 그런 다음 해당 권한이 필요한 IAM 권한 세트 또는 역할에 이러한 정책을 연결할 수 있습니다. 자세한 내용은 Amazon Aurora의 자격 증명 및 액세스 관리 단원을 참조하십시오.

생성, 수정 또는 복원 작업의 경우 Aurora가 Secrets Manager에서 마스터 사용자 암호를 관리하도록 지정하는 사용자는 다음 작업을 수행할 권한이 있어야 합니다.

생성, 수정 또는 복원 작업의 경우 Secrets Manager에서 비밀을 암호화하는 고객 관리형 키를 지정하는 사용자는 다음 작업을 수행할 권한이 있어야 합니다.

수정 작업의 경우 Secrets Manager에서 마스터 사용자 암호를 교체하는 사용자는 다음 작업을 수행할 권한이 있어야 합니다.

AWS Secrets Manager 마스터 사용자 암호의 Aurora 관리 적용

IAM 조건 키를 사용하여 AWS Secrets Manager에서 마스터 사용자 암호의 Aurora 관리를 적용할 수 있습니다. 다음 정책은 Secrets Manager에서 Aurora가 마스터 사용자 암호를 관리하지 않는 한 사용자가 DB 인스턴스 또는 DB 클러스터를 생성하거나 복원하는 것을 허용하지 않습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": ["rds:CreateDBInstance", "rds:CreateDBCluster", "rds:RestoreDBInstanceFromS3", "rds:RestoreDBClusterFromS3"],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "rds:ManageMasterUserPassword": false
                }
            }
        }
    ]
}

IAM 정책에서 조건 키 사용에 관한 자세한 내용은 Aurora의 정책 조건 키 및 정책 예: 조건 키 사용을 참조하세요.

Secrets Manager를 사용하여 DB 클러스터의 마스터 사용자 암호 관리

다음 작업을 수행할 때 Secrets Manager에서 마스터 사용자 암호의 Aurora 관리를 구성할 수 있습니다.

콘솔, AWS CLI 또는 RDS API를 사용하여 이러한 작업을 수행할 수 있습니다.

다음 지침에 따라 RDS 콘솔을 사용하여 DB 클러스터를 생성하거나 수정합니다.

• DB 클러스터 생성

• DB 클러스터에서 DB 인스턴스 수정

  RDS 콘솔에서 DB 인스턴스를 수정하여 전체 DB 클러스터의 마스터 사용자 암호 관리 설정을 지정할 수 있습니다.

• Amazon S3 버킷에서 Amazon Aurora MySQL DB 클러스터 복원

RDS 콘솔을 사용하여 이러한 작업 중 하나를 수행하는 경우 Secrets Manager에서 Aurora가 마스터 사용자 암호를 관리하도록 지정할 수 있습니다. DB 클러스터를 생성 또는 복원할 때 이를 수행하려면 Credential settings(보안 인증 정보 설정)에서 Manage master credentials in AWS Secrets Manager를 선택합니다. DB 클러스터를 수정할 경우 Settings(설정)에서 Manage master credentials in AWS Secrets Manager를 선택합니다.

다음 이미지는 DB 클러스터를 생성 또는 복원할 때의 Manage master credentials in AWS Secrets Manager 설정의 예입니다.

이 옵션을 선택하면 Aurora가 Secrets Manager에서 마스터 사용자 암호를 생성하고 수명 주기 동안 이를 관리합니다.

Secrets Manager가 제공하는 KMS 키 또는 사용자가 생성한 고객 관리 키를 사용하여 비밀을 암호화하도록 선택할 수 있습니다. Aurora가 DB 클러스터의 데이터베이스 보안 인증 정보를 관리한 후에는 비밀을 암호화하는 데 사용되는 KMS 키를 변경할 수 없습니다.

요구 사항에 맞는 다른 설정을 선택할 수 있습니다.

DB 클러스터를 생성할 때 사용 가능한 설정에 대한 자세한 내용은 Aurora DB 클러스터 설정을 참조하세요. DB 클러스터를 수정할 때 사용 가능한 설정에 대한 자세한 내용은 Amazon Aurora에 대한 설정을 참조하세요.

Aurora가 Secrets Manager에서 마스터 사용자 암호를 관리하도록 지정하려면 다음 명령 중 하나에서 --manage-master-user-password 옵션을 지정하세요.

• create-db-cluster

• modify-db-cluster

• restore-db-cluster-from-s3

이러한 명령에서 --manage-master-user-password 옵션을 지정하면 Aurora가 Secrets Manager에서 마스터 사용자 암호를 생성하고 해당 수명 주기 동안 이를 관리합니다.

비밀을 암호화하려면 고객 관리형 키를 지정하거나 Secrets Manager에서 제공하는 기본 KMS 키를 사용하면 됩니다. 고객 관리형 키를 지정하려면 --master-user-secret-kms-key-id 옵션을 사용하세요. AWS KMS 키 식별자는 KMS 키의 키 ARN, 키 ID, 별칭 ARN 또는 별칭 이름입니다. 다른 AWS 계정에서 KMS 키를 사용하려면 키 ARN 또는 별칭 ARN을 지정하세요. Aurora가 DB 클러스터의 데이터베이스 보안 인증 정보를 관리한 후에는 비밀을 암호화하는 데 사용되는 KMS 키를 변경할 수 없습니다.

요구 사항에 맞는 다른 설정을 선택할 수 있습니다.

DB 클러스터를 생성할 때 사용 가능한 설정에 대한 자세한 내용은 Aurora DB 클러스터 설정을 참조하세요. DB 클러스터를 수정할 때 사용 가능한 설정에 대한 자세한 내용은 Amazon Aurora에 대한 설정을 참조하세요.

이 예에서는 DB 클러스터를 생성하고 Aurora가 Secrets Manager에서 암호를 관리하도록 지정합니다. 비밀은 Secrets Manager에서 제공하는 KMS 키를 사용하여 암호화됩니다.

대상 LinuxmacOS, 또는Unix:

aws rds create-db-cluster \
     --db-cluster-identifier sample-cluster \
     --engine aurora-mysql \
     --engine-version 8.0 \
     --master-username admin \
     --manage-master-user-password

Windows의 경우:

aws rds create-db-cluster ^
     --db-cluster-identifier sample-cluster ^
     --engine aurora-mysql ^
     --engine-version 8.0 ^
     --master-username admin ^
     --manage-master-user-password

Aurora가 Secrets Manager에서 마스터 사용자 암호를 관리하도록 지정하려면 다음 작업 중 하나에서 ManageMasterUserPassword 파라미터를 true로 설정하세요.

• CreateDBCluster

• ModifyDBCluster

• RestoreDBClusterFromS3

이러한 명령에서 ManageMasterUserPassword 파라미터를 true로 설정하면 Aurora가 Secrets Manager에서 마스터 사용자 암호를 생성하고 해당 수명 주기 동안 이를 관리합니다.

비밀을 암호화하려면 고객 관리형 키를 지정하거나 Secrets Manager에서 제공하는 기본 KMS 키를 사용하면 됩니다. MasterUserSecretKmsKeyId 파라미터를 사용하여 고객 관리형 키를 지정합니다. AWS KMS 키 식별자는 KMS 키의 키 ARN, 키 ID, 별칭 ARN 또는 별칭 이름입니다. 다른 AWS 계정에서 KMS 키를 사용하려면 키 ARN 또는 별칭 ARN을 지정하세요. Aurora가 DB 클러스터의 데이터베이스 보안 인증 정보를 관리한 후에는 비밀을 암호화하는 데 사용되는 KMS 키를 변경할 수 없습니다.

DB 클러스터의 마스터 사용자 암호 비밀 교체

Aurora가 마스터 사용자 암호 비밀을 교체하면 Secrets Manager는 기존 비밀의 새 비밀 버전을 생성합니다. 새 버전의 비밀에는 새 마스터 사용자 암호가 포함됩니다. Aurora는 새 비밀 버전의 암호와 일치하도록 DB 클러스터의 마스터 사용자 암호를 변경합니다.

예약된 교체를 기다리지 않고 비밀을 즉시 교체할 수 있습니다. Secrets Manager에서 마스터 사용자 암호 비밀을 교체하려면 DB 클러스터를 수정하세요. DB 클러스터 수정에 대한 자세한 내용은 Amazon Aurora DB 클러스터 수정을 참조하세요.

RDS 콘솔, AWS CLI 또는 RDS API를 사용하여 마스터 사용자 암호 비밀을 즉시 교체할 수 있습니다. 새 암호는 항상 28자이며 하나 이상의 대문자와 소문자, 하나의 숫자, 하나의 구두점을 포함합니다.

RDS 콘솔을 사용하여 마스터 사용자 암호 비밀을 교체하려면 DB 클러스터를 수정하고 Settings(설정)에서 Rotate secret immediately(암호 즉시 교체)를 선택합니다.

RDS 콘솔을 사용하여 DB 클러스터를 수정하려면 콘솔, CLI, API를 사용하여 DB 클러스터 수정의 지침에 따르세요. 확인 페이지에서 Apply immediately(즉시 적용)를 선택해야 합니다.

AWS CLI를 사용하여 마스터 사용자 암호를 교체하려면 modify-db-cluster 명령을 사용하고 --rotate-master-user-password 옵션을 지정합니다. 마스터 암호를 교체할 때 --apply-immediately 옵션을 지정해야 합니다.

이 예에서는 마스터 사용자 암호 비밀을 교체합니다.

대상 LinuxmacOS, 또는Unix:

aws rds modify-db-cluster \
    --db-cluster-identifier mydbcluster \
    --rotate-master-user-password \
    --apply-immediately

Windows의 경우:

aws rds modify-db-cluster ^
    --db-cluster-identifier mydbcluster ^
    --rotate-master-user-password ^
    --apply-immediately

ModifyDBCluster 작업을 사용하고 RotateMasterUserPassword 파라미터를 true로 설정하여 마스터 사용자 암호 비밀을 교체할 수 있습니다. 마스터 암호를 교체할 때 ApplyImmediately 파라미터를 true로 설정해야 합니다.

DB 클러스터의 비밀에 대한 세부 정보 보기

콘솔(https://console.aws.amazon.com/secretsmanager/) 또는 AWS CLI(get-secret-value Secrets Manager 명령)을 사용하여 비밀을 검색할 수 있습니다.

RDS 콘솔, AWS CLI 또는 RDS API를 사용하여 Secrets Manager에서 Aurora가 관리하는 비밀의 Amazon 리소스 이름(ARN)을 찾을 수 있습니다.

aws rds describe-db-clusters --db-cluster-identifier mydbcluster

"MasterUserSecret": {
                "SecretArn": "arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx",
                "SecretStatus": "active",
                "KmsKeyId": "arn:aws:kms:eu-west-1:123456789012:key/0987dcba-09fe-87dc-65ba-ab0987654321"
            }

aws secretsmanager get-secret-value \
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

aws secretsmanager get-secret-value ^
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'