AWS Secrets Manager에 대한 인증 및 액세스 제어
Secrets Manager는 AWS Identity and Access Management(IAM)를 사용하여 보안 암호에 대한 액세스를 제어합니다. IAM은 인증 및 액세스 제어를 제공합니다. 인증은 개인 요청의 자격 증명을 확인합니다. Secrets Manager는 암호, 액세스 키 및 멀티 팩터 인증(MFA) 토큰을 통해 로그인 프로세스를 사용하여 사용자의 자격 증명을 확인합니다. AWS에 로그인을 참조하세요. 액세스 제어는 승인된 개인만 AWS 리소스(예: 보안 암호)에 대한 작업을 수행할 수 있도록 합니다. Secrets Manager는 정책을 사용하여 리소스에 액세스할 수 있는 사용자 및 해당 리소스에 대해 자격 증명이 수행할 수 있는 작업을 정의합니다. IAM의 정책 및 권한을 참조하세요.
주제
- AWS Secrets Manager에 대한 권한 참조
- Secrets Manager 관리자 권한
- 보안 암호에 액세스할 수 있는 권한
- Lambda 교체 함수에 대한 권한
- 암호화 키 권한
- 복제 권한
- 보안 인증 기반 정책
- 리소스 기반 정책
- 속성 기반 액세스 제어(ABAC)를 사용하여 보안 암호에 대한 액세스 제어
- AWS Secrets Manager을 위한 AWS 관리형 정책
- AWS Secrets Manager 보안 암호에 대한 권한이 있는 사용자 확인
- 다른 계정에서 AWS Secrets Manager 보안 암호에 액세스
- 온프레미스 환경에서 보안 암호에 액세스
AWS Secrets Manager에 대한 권한 참조
Secrets Manager의 권한 참조를 보려면 서비스 승인 참조의 Actions, resources, and condition keys for AWS Secrets Manager 단원을 참조하세요.
Secrets Manager 관리자 권한
Secrets Manager 관리자 권한을 부여하려면 IAM 자격 증명 권한 추가 및 제거의 지침을 따르고 다음 정책을 연결합니다.
최종 사용자에게는 관리자 권한을 부여하지 않는 것이 좋습니다. 이를 통해 사용자는 자신의 보안 암호를 생성하고 관리할 수 있지만 교체를 활성화하는 데 필요한 권한(IAMFullAccess)은 최종 사용자에게 적합하지 않은 중요한 권한을 부여합니다.
보안 암호에 액세스할 수 있는 권한
IAM 권한 정책을 사용하여 보안 암호에 액세스하는 사용자 또는 서비스를 제어할 수 있습니다. 권한 정책은 누가 어떤 리소스에 대해 어떤 작업을 수행할 수 있는지 설명합니다. 다음을 할 수 있습니다.
Lambda 교체 함수에 대한 권한
Secrets Manager는 AWS Lambda 함수를 사용하여 보안 암호를 교체합니다. Lambda 함수는 보안 암호에 자격 증명이 포함된 데이터베이스 또는 서비스뿐 아니라 보안 암호에 액세스할 수 있어야 합니다. 교체 권한 섹션을 참조하세요.
암호화 키 권한
Secrets Manager는 AWS Key Management Service(AWS KMS) 키를 사용하여 보안 암호를 암호화합니다. AWS 관리형 키 aws/secretsmanager에 올바른 권한이 자동으로 부여됩니다. 다른 KMS 키를 사용하는 경우 Secrets Manager는 해당 키에 대한 권한이 필요합니다. KMS 키에 대한 권한 섹션을 참조하세요.
복제 권한
IAM 권한 정책을 사용하여 보안 암호를 다른 리전에 복제할 수 있는 사용자 또는 서비스를 제어할 수 있습니다. AWS Secrets Manager 복제 방지 섹션을 참조하세요.
