AWS Secrets Manager 보안 암호에 대한 암호화 키 변경 - AWS Secrets Manager
AWS CLI

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Secrets Manager 보안 암호에 대한 암호화 키 변경

Secrets Manager는 AWS KMS 키 및 데이터 키로 봉투 암호화를 사용하여 각 보안 암호 값을 보호합니다. 각 보안 암호에 사용할 KMS 키를 선택할 수 있습니다. AWS 관리형 키 aws/secretsmanager 또는 고객 관리형 키를 사용할 수 있습니다. 대부분의 경우 aws/secretsmanager 사용을 권장하며, 이를 사용하는 데 드는 비용은 없습니다. 다른 AWS 계정에서 보안 암호에 액세스해야 하는 경우 또는 자체 KMS 키를 사용하여 교체하거나 키 정책을 적용하려는 경우 고객 관리형 키을(를) 사용하세요. KMS 키에 대한 권한이(가) 있어야 합니다. 고객 관리형 키 사용 비용에 대한 자세한 내용은 요금을 참조하세요.

보안 암호에 대한 암호화 키를 변경할 수 있습니다. 예를 들어 다른 계정에서 보안 암호에 액세스하고 싶은데 보안 암호가 현재 AWS 관리 키인 aws/secretsmanager을(를) 사용하여 암호화되어 있는 경우 고객 관리형 키(으)로 전환할 수 있습니다.

작은 정보

고객 관리형 키을(를) 교체하려는 경우 AWS KMS 자동 키 교체를 사용하는 것이 좋습니다. 자세한 내용은 AWS KMS 키 교체를 참조하세요.

암호화 키를 변경하면 Secrets Manager가 새 키로 AWSCURRENT, AWSPENDING, AWSPREVIOUS 버전을 다시 암호화합니다. 보안 암호가 잠기는 것을 방지하기 위해 Secrets Manager는 모든 기존 버전을 이전 키로 암호화합니다. 즉, 이전 키 또는 새 키를 사용하여 AWSCURRENT, AWSPENDING, AWSPREVIOUS 버전을 복호화할 수 있습니다. 이전 키에 대한 kms:Decrypt 권한이 없는 경우, 암호화 키를 변경하면 Secrets Manager는 보안 암호 버전을 복호화하여 이를 다시 암호화할 수 없습니다. 이 경우 기존 버전은 다시 암호화되지 않습니다.

AWSCURRENT가 새 암호화 키로만 복호화할 수 있도록 하려면 새 키로 새 버전의 보안 암호를 생성합니다. 그런 다음, AWSCURRENT 보안 암호 버전을 복호화하려면 새 키에 대한 권한이 있어야 합니다.

이전 암호화 키를 비활성화하면 AWSCURRENT, AWSPENDINGAWSPREVIOUS을(를) 제외한 암호 버전을 해독할 수 없습니다. 레이블이 지정된 다른 보안 암호 버전에 계속 액세스하려는 경우 AWS CLI을(를) 사용하여 새 암호화 키로 해당 버전을 다시 생성해야 합니다.

보안 암호에 대한 암호화 키 변경(콘솔)

  1. https://console.aws.amazon.com/secretsmanager/에서 Secrets Manager 콘솔을 엽니다.

  2. 보안 암호 목록에서 보안 암호를 선택합니다.

  3. 보안 암호 세부 정보 페이지의 보안 암호 세부 정보 섹션에서 조치를 선택한 후 암호화 키 편집을 선택합니다.

AWS CLI

보안 암호의 암호화 키를 변경한 다음 이전 암호화 키를 비활성화하면 AWSCURRENT, AWSPENDINGAWSPREVIOUS을(를) 제외한 보안 암호 버전을 해독할 수 없습니다. 레이블이 지정된 다른 보안 암호 버전에 계속 액세스하려는 경우 AWS CLI을(를) 사용하여 새 암호화 키로 해당 버전을 다시 생성해야 합니다.

보안 암호에 대한 암호화 키 변경(AWS CLI)

  1. 다음 update-secret 예에서는 보안 암호 값을 암호화하는 데 사용되는 KMS 키를 업데이트합니다. KMS 키는 보안 암호와 동일한 리전에 있어야 합니다.

    aws secretsmanager update-secret \
      --secret-id MyTestSecret \
      --kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE

  2. (선택 사항) 사용자 지정 레이블이 있는 보안 암호 버전이 있는 경우 새 키를 사용하여 다시 암호화하려면 해당 버전을 다시 만들어야 합니다.

    명령 셸에 명령을 입력하면 명령 기록이 액세스되거나 유틸리티가 명령 파라미터에 액세스할 위험이 있습니다. AWS Secrets Manager 보안 암호 저장 시 AWS CLI 사용으로 발생 가능한 위험 줄이기 섹션을 참조하세요.

    1. 보안 암호 버전의 값을 가져옵니다.

      aws secretsmanager get-secret-value \
      --secret-id MyTestSecret \
      --version-stage MyCustomLabel

      보안 암호 값을 기록해 둡니다.

    2. 해당 값으로 새 버전을 생성합니다.

      aws secretsmanager put-secret-value \
    --secret-id testDescriptionUpdate \
    --secret-string "SecretValue" \
    --version-stages "MyCustomLabel"