View a markdown version of this page

보안 및 권한 - AWS Secrets Manager

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안 및 권한

관리형 외부 보안 암호는 타사 애플리케이션 계정의 관리자 수준 권한을 공유할 필요가 없습니다AWS. 대신 교체 프로세스는 사용자가 제공하는 자격 증명과 메타데이터를 사용하여 자격 증명 업데이트 및 검증을 위해 타사 애플리케이션에 승인된 API를 호출합니다.

관리형 외부 보안 암호는 다른 Secrets Manager 보안 암호 유형과 동일한 보안 표준을 유지합니다. 보안 암호 값은 KMS 키를 사용하여 저장 시 암호화되고 TLS를 사용하여 전송 중에 암호화됩니다. 보안 암호에 대한 액세스는 IAM 정책 및 리소스 기반 정책을 통해 제어됩니다. 고객 관리형 키를 사용하여 보안 암호를 암호화하는 경우 교체 역할의 IAM 정책 및 CMK 신뢰 정책을 업데이트하여 성공적인 교체를 보장하는 데 필요한 권한을 제공해야 합니다.

교체가 제대로 작동하려면 Secrets Manager에 보안 암호 수명 주기를 관리할 수 있는 특정 권한을 제공해야 합니다. 이러한 권한은 개별 보안 암호로 범위가 지정될 수 있으며 최소 권한 원칙을 따릅니다. 제공하는 교체 역할은 설정 중에 검증되며 교체 작업에만 사용됩니다.

보안 암호가 있는 리전에서 Secrets Manager 관리형 외부 보안 암호 AWS관리형 접두사 목록만 허용하여 외부 리소스로 IP 수신을 제한할 수 있습니다. 접두사 목록의 이름은 이며com.amazonaws.region.secretsmanager-managed-external-secrets, 여기서 region은 보안 암호의AWS리전입니다. 관리형 접두사 목록을 사용하면 기본 IP 범위가 변경될 때 수신 규칙이 자동으로 최신 상태로 유지됩니다.

프로그래밍 방식으로 접두사 목록을 참조하려는 경우 GetManagedPrefixListEntries API를 사용하여 허용 목록에 추가해야 하는 IPs를 나열할 수 있습니다. 수신 규칙을 최신 상태로 유지하려면이 접두사 목록으로 수신 규칙을 주기적으로 새로 고쳐야 합니다.

AWS Secrets Manager또한는 Secrets Manager 콘솔을 통해 보안 암호를 생성할 때 보안 암호를 관리하는 데 필요한 권한이 있는 IAM 정책을 생성하는 원터치 솔루션을 제공합니다. 이 역할에 대한 권한은 각 리전의 각 통합 파트너에 대해 범위가 축소됩니다.

권한 정책 예제:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRotationAccess", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue", "secretsmanager:UpdateSecretVersionStage" ], "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "secretsmanager:resource/Type": "SalesforceClientSecret" } } }, { "Sid": "AllowPasswordGenerationAccess", "Action": [ "secretsmanager:GetRandomPassword" ], "Resource": "*", "Effect": "Allow" } ] }

참고: secretsmanager:resource/Type에 사용할 수 있는 보안 암호 유형 목록은 통합 파트너에서 확인할 수 있습니다.

신뢰 정책 예:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecretsManagerPrincipalAccess", "Effect": "Allow", "Principal": { "Service": "secretsmanager.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*" } } } ] }