기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Secrets Manager을 위한 AWS 관리형 정책
AWS 관리형 정책은 AWS에서 생성되고 관리되는 독립 실행형 정책입니다. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있기 때문에 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에서 정의한 권한은 변경할 수 없습니다. 만약 AWS가 AWS 관리형 정책에 정의된 권한을 업데이트할 경우 정책이 연결되어 있는 모든 보안 주체 엔터티(사용자, 그룹 및 역할)에도 업데이트가 적용됩니다. 새로운 AWS 서비스를 시작하거나 새로운 API 작업을 기존 서비스에 이용하는 경우 AWS가 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책을 참조하세요.
AWS 관리형 정책: SecretsManagerReadWrite
이 정책은 AWS Secrets Manager에 대한 읽기/쓰기 액세스를 제공합니다. 여기에는 Amazon RDS, Amazon Redshift 및 Amazon DocumentDB 리소스를 설명할 수 있는 권한과 AWS KMS를 사용하여 보안 암호를 암호화하고 해독할 수 있는 권한이 포함됩니다. 또한 이 정책은 AWS CloudFormation 변경 세트를 생성하고, AWS에서 관리하는 Amazon S3 버킷에서 교체 템플릿을 가져오고, AWS Lambda 함수를 나열하고, Amazon EC2 VPC를 설명할 수 있는 권한을 제공합니다. 콘솔에서 기존 교체 함수를 사용하여 교체를 설정하려면 이러한 권한이 필요합니다.
새로운 교체 함수를 생성하려면 AWS CloudFormation 스택과 AWS Lambda 실행 역할을 생성할 수 있는 권한도 있어야 합니다. IAMFullAccess 관리형 정책을 할당할 수 있습니다. 교체 권한 섹션을 참조하세요.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
secretsmanager– 보안 주체가 모든 Secrets Manager 작업을 수행할 수 있도록 허용합니다. -
cloudformation– 보안 주체가 AWS CloudFormation 스택을 생성할 수 있도록 허용합니다. 이는 교체를 활성화하기 위해 콘솔을 사용하는 보안 주체가 AWS CloudFormation 스택을 통해 Lambda 교체 함수를 생성할 수 있도록 하기 위해 필요합니다. 자세한 내용은 Secrets Manager의 AWS CloudFormation 사용 방식 단원을 참조하십시오. -
ec2– 보안 주체가 Amazon EC2 VPC에 대해 설명할 수 있도록 허용합니다. 이는 콘솔을 사용하는 보안 주체가 보안 암호에 저장하는 보안 인증 정보의 데이터베이스와 동일한 VPC에서 교체 함수를 생성할 수 있도록 하기 위해 필요합니다. -
kms– 보안 주체가 AWS KMS 키를 사용하여 암호화 작업을 수행할 수 있도록 허용합니다. 이는 Secrets Manager가 보안 암호를 암호화하고 해독할 수 있도록 하기 위해 필요합니다. 자세한 내용은 AWS Secrets Manager에서 보안 암호 암호화 및 복호화 단원을 참조하십시오. -
lambda– 보안 주체가 Lambda 교체 함수를 나열할 수 있도록 허용합니다. 이는 콘솔을 사용하는 보안 주체가 기존 교체 함수를 선택할 수 있도록 하기 위해 필요합니다. -
rds– 보안 주체가 Amazon RDS의 클러스터 및 인스턴스를 설명할 수 있도록 허용합니다. 이는 콘솔을 사용하는 보안 주체가 Amazon RDS 클러스터 또는 인스턴스를 선택할 수 있도록 하기 위해 필요합니다. -
redshift– 보안 주체가 Amazon Redshift의 클러스터를 설명할 수 있도록 허용합니다. 이는 콘솔을 사용하는 보안 주체가 Amazon Redshift 클러스터를 선택할 수 있도록 하기 위해 필요합니다. -
redshift-serverless- 보안 주체가 Amazon Redshift Serverless의 네임스페이스를 설명할 수 있도록 허용합니다. 이는 콘솔을 사용하는 보안 주체가 Amazon Redshift Serverless 네임스페이스를 선택할 수 있도록 하기 위해 필요합니다. -
docdb-elastic– 보안 주체가 Amazon DocumentDB의 탄력적 클러스터를 설명할 수 있도록 허용합니다. 이는 콘솔을 사용하는 보안 주체가 Amazon DocumentDB 탄력적 클러스터를 선택할 수 있도록 하기 위해 필요합니다. -
tag– 보안 주체가 계정 내에서 태그가 지정된 모든 리소스를 가져올 수 있도록 허용합니다. -
serverlessrepo– 보안 주체가 AWS CloudFormation 변경 세트를 생성할 수 있도록 허용합니다. 이는 콘솔을 사용하는 보안 주체가 Lambda 교체 함수를 생성할 수 있도록 하기 위해 필요합니다. 자세한 내용은 Secrets Manager의 AWS CloudFormation 사용 방식 단원을 참조하십시오. -
s3– 보안 주체가 AWS에서 관리하는 Amazon S3 버킷에서 객체를 가져올 수 있도록 허용합니다. 이 버킷에는 Lambda 교체 함수 템플릿이 포함되어 있습니다. 이 권한은 콘솔을 사용하는 보안 주체가 버킷의 템플릿을 기반으로 Lambda 교체 함수를 생성할 수 있도록 하기 위해 필요합니다. 자세한 내용은 Secrets Manager의 AWS CloudFormation 사용 방식 단원을 참조하십시오.
정책을 보려면 SecretsManagerReadWrite JSON 정책 문서를 참조하세요.
AWS 관리형 정책으로 Secrets Manager 업데이트
Secrets Manager의 AWS 관리형 정책에 대한 업데이트 세부 정보를 봅니다.
| 변경 사항 | 설명 | 날짜 | 버전 |
|---|---|---|---|
|
SecretsManagerReadWrite – 기존 정책 업데이트 |
이 정책은 콘솔 사용자가 Amazon Redshift 보안 암호를 생성할 때 Amazon Redshift Serverless를 선택할 수 있도록 Amazon Redshift Serverless에 대한 설명 액세스를 허용하도록 업데이트되었습니다. |
2024년 3월 12일 | v5 |
|
SecretsManagerReadWrite – 기존 정책 업데이트 |
이 정책은 콘솔 사용자가 Amazon DocumentDB 보안 암호를 생성할 때 탄력적 클러스터를 선택할 수 있도록 Amazon DocumentDB 탄력적 클러스터에 대한 설명 액세스를 허용하도록 업데이트되었습니다. |
2023년 9월 12일 | v4 |
|
SecretsManagerReadWrite – 기존 정책 업데이트 |
이 정책은 콘솔 사용자가 Amazon Redshift 보안 암호를 생성할 때 Amazon Redshift 클러스터를 선택할 수 있도록 Amazon Redshift에 대한 설명 액세스를 허용하도록 업데이트되었습니다. 이 업데이트에는 Lambda 교체 함수 템플릿을 저장하는 AWS에서 관리하는 Amazon S3 버킷에 대한 읽기 액세스를 허용하는 새로운 권한도 추가되었습니다. |
2020년 6월 24일 | v3 |
|
SecretsManagerReadWrite – 기존 정책 업데이트 |
이 정책은 콘솔 사용자가 Amazon RDS 암호를 생성할 때 클러스터를 선택할 수 있도록 Amazon RDS 클러스터에 대한 설명 액세스를 허용하도록 업데이트되었습니다. |
2018년 5월 3일 | v2 |
|
SecretsManagerReadWrite – 새 정책 |
Secrets Manager는 Secrets Manager에 대한 모든 읽기/쓰기 액세스 권한과 함께 콘솔을 사용하는 데 필요한 권한을 부여하는 정책을 만들었습니다. |
2018년 4월 4일 | v1 |
