기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Secrets Manager에 대한 Security Hub CSPM 제어
이러한 AWS Security Hub CSPM 제어는 AWS Secrets Manager 서비스 및 리소스를 평가합니다.
이러한 컨트롤을 전혀 사용하지 못할 수 있습니다 AWS 리전. 자세한 내용은 [리전별 제어 기능 사용 가능 여부](securityhub-regions.md#securityhub-regions-control-support) 단원을 참조하십시오.
## [SecretsManager.1] Secrets Manager 암호에는 자동 교체가 활성화되어 있어야 합니다.
**관련 요구 사항:** NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3(15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
**범주:** 보호 > 보안 개발
**심각도:** 중간
**리소스 유형:** `AWS::SecretsManager::Secret`
**AWS Config 규칙:** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)
**스케줄 유형:** 변경이 트리거됨
**파라미터:**
| 파라미터 | 설명 | 형식 | 허용된 사용자 지정 값 | Security Hub CSPM 기본값 |
| --- | --- | --- | --- | --- |
| `maximumAllowedRotationFrequency` | 보안 암호 교체 빈도에 허용되는 최대 일수 | Integer | `1`\$1`365` | 기본값 없음 |
이 제어는에 저장된 보안 AWS Secrets Manager 암호가 자동 교체로 구성되어 있는지 확인합니다. 암호가 자동 교체로 구성되지 않은 경우, 제어가 실패합니다. `maximumAllowedRotationFrequency` 파라미터에 사용자 지정 값을 제공하는 경우, 지정된 시간 내에 보안 암호가 자동으로 교체되는 경우에만 제어가 통과합니다.
Secrets Manager는 조직의 보안 태세를 개선하는 데 도움이 됩니다. 암호에는 데이터베이스 보안 인증, 비밀번호, 타사 API 키가 포함됩니다. Secrets Manager를 사용하여 암호를 중앙에 저장하고, 암호를 자동으로 암호화하고, 암호에 대한 액세스를 제어하고, 암호를 안전하고 자동으로 교체할 수 있습니다.
Secrets Manager는 암호를 교체할 수 있습니다. 교체를 통해 장기 암호를 단기 암호로 대체할 수 있습니다. 암호를 교체하면 권한이 없는 사용자가 손상된 암호를 사용할 수 있는 기간이 제한됩니다. 이러한 이유 때문에 보안 암호는 자주 교체해야 합니다. 교체에 대한 자세한 내용은 *AWS Secrets Manager 사용 설명서*의 [AWS Secrets Manager 보안 암호 교체를 참조하세요](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html).
### 문제 해결
Secrets Manager 보안 암호의 자동 교체를 켜려면 *AWS Secrets Manager 사용 설명서*의 [콘솔을 사용하여 AWS Secrets Manager 보안 암호의 자동 교체 설정을 참조하세요](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html). 교체를 위해 AWS Lambda 함수를 선택하고 구성해야 합니다.
## [SecretsManager.2] 자동 교체로 구성된 Secrets Manager 암호는 성공적으로 교체되어야 합니다.
**관련 요구 사항:** NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3(15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
**범주:** 보호 > 보안 개발
**심각도:** 중간
**리소스 유형:** `AWS::SecretsManager::Secret`
**AWS Config 규칙:** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)
**스케줄 유형:** 변경이 트리거됨
**파라미터:** 없음
이 제어는 AWS Secrets Manager 보안 암호가 교체 일정에 따라 성공적으로 교체되었는지 확인합니다. `RotationOccurringAsScheduled` 이 `false`이면 제어는 실패합니다. 제어는 교체가 설정되어 있는 암호만 평가합니다.
Secrets Manager는 조직의 보안 태세를 개선하는 데 도움이 됩니다. 암호에는 데이터베이스 보안 인증, 비밀번호, 타사 API 키가 포함됩니다. Secrets Manager를 사용하여 암호를 중앙에 저장하고, 암호를 자동으로 암호화하고, 암호에 대한 액세스를 제어하고, 암호를 안전하고 자동으로 교체할 수 있습니다.
Secrets Manager는 암호를 교체할 수 있습니다. 교체를 통해 장기 암호를 단기 암호로 대체할 수 있습니다. 암호를 교체하면 권한이 없는 사용자가 손상된 암호를 사용할 수 있는 기간이 제한됩니다. 이러한 이유 때문에 보안 암호는 자주 교체해야 합니다.
암호가 자동으로 교체되도록 구성하는 것 외에도 순환 일정에 따라 암호가 성공적으로 교체되도록 해야 합니다.
교체에 대해 자세히 알아보려면 *AWS Secrets Manager 사용 설명서*의 [AWS Secrets Manager 암호 교체](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)를 참조하세요.
### 문제 해결
자동 교체가 실패할 경우, Secrets Manager에서 구성 오류가 발생했을 수 있습니다. Secret Manager에서 보안 암호를 교체하려면 해당 보안 암호를 소유하고 있는 데이터베이스 또는 서비스와의 상호 작용 방식을 정의하는 Lambda 함수를 사용해야 합니다.
보안 암호 교체와 관련된 일반적인 오류를 진단하고 수정하는 데 도움이 필요하면 *AWS Secrets Manager 사용 설명서*[의 보안 암호 AWS Secrets Manager 교체 문제 해결을 참조하세요](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html).
## [SecretsManager.3] 사용하지 않는 Secrets Manager 암호 삭제
**관련 요구 사항:** NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3(15)
**범주:** 보호 > 보안 액세스 관리
**심각도:** 중간
**리소스 유형:** `AWS::SecretsManager::Secret`
**AWS Config 규칙:** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)
**스케줄 유형:** 주기적
**파라미터:**
| 파라미터 | 설명 | 형식 | 허용된 사용자 지정 값 | Security Hub CSPM 기본값 |
| --- | --- | --- | --- | --- |
| `unusedForDays` | 보안 암호를 사용하지 않은 상태로 유지할 수 있는 최대 일수 | Integer | `1`\$1`365` | `90` |
이 제어는 지정된 기간 내에 AWS Secrets Manager 보안 암호에 액세스했는지 확인합니다. 보안 암호를 지정된 기간 이후에 사용하지 않으면 제어가 실패합니다. 액세스 기간에 대한 사용자 지정 파라미터 값을 제공하지 않는 한 Security Hub CSPM은 기본값인 90일을 사용합니다.
사용하지 않는 암호를 삭제하는 것은 암호를 교체하는 것만큼이나 중요합니다. 사용하지 않는 암호는 더 이상 해당 암호에 액세스할 필요가 없는 이전 사용자에 의해 악용될 수 있습니다. 또한 더 많은 사용자가 암호에 액세스할 수 있게 되면 누군가가 이를 잘못 처리하여 승인되지 않은 엔터티에 유출했을 수 있으며, 이로 인해 남용의 위험이 커집니다. 사용하지 않는 암호를 삭제하면 더 이상 필요하지 않은 사용자의 암호 액세스를 취소하는 데 도움이 됩니다. 또한 Secrets Manager를 사용하는 비용을 줄이는 데도 도움이 됩니다. 따라서 사용하지 않는 암호는 정기적으로 삭제해야 합니다.
### 문제 해결
비활성 Secrets Manager 보안 암호를 삭제하려면 *AWS Secrets Manager 사용 설명서*의 [AWS Secrets Manager 보안 암호 삭제](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_delete-secret.html)를 참조하세요.
## [SecretsManager.4] Secrets Manager 암호는 지정된 일수 내에 교체되어야 합니다.
**관련 요구 사항:** NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3(15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
**범주:** 보호 > 보안 액세스 관리
**심각도:** 중간
**리소스 유형:** `AWS::SecretsManager::Secret`
**AWS Config 규칙:** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)
**스케줄 유형:** 주기적
**파라미터:**
| 파라미터 | 설명 | 형식 | 허용된 사용자 지정 값 | Security Hub CSPM 기본값 |
| --- | --- | --- | --- | --- |
| `maxDaysSinceRotation` | 보안 암호를 변경하지 않은 상태로 유지할 수 있는 최대 일수 | Integer | `1`\$1`180` | `90` |
이 제어는 AWS Secrets Manager 보안 암호가 지정된 기간 내에 한 번 이상 교체되는지 확인합니다. 보안 암호를 이 정도로 자주 교체하지 않으면 제어가 실패합니다. 교체 기간 동안 사용자 지정 파라미터 값을 제공하지 않는 한 Security Hub CSPM은 기본값인 90일을 사용합니다.
암호 회전은 AWS 계정에서 암호가 무단으로 사용되는 위험을 줄이는 데 도움이 될 수 있습니다. 그 예로는 데이터베이스 보안 인증 정보, 비밀번호, 타사 API 키, 심지어 임의의 텍스트도 포함됩니다. 오랜 기간 동안 보안 암호를 바꾸지 않으면 보안 암호가 손상될 가능성이 높아집니다.
더 많은 사용자가 보안 암호에 액세스할 수 있으므로 누군가가 잘못 취급하여 승인되지 않은 엔터티에 유출할 가능성이 높아질 수 있습니다. 보안 암호는 로그 및 캐시 데이터를 통해 유출될 수 있습니다. 디버깅 목적으로 보안 암호를 공유할 수 있으며, 디버깅이 끝나도 보안 암호를 변경하거나 취소하지 않습니다. 이러한 모든 이유로 보안 암호는 자주 교체해야 합니다.
AWS Secrets Manager에서 암호 자동 순환을 구성할 수 있습니다. 자동 교체를 사용하면 장기 암호를 단기 암호로 대체하여 손상 위험을 크게 줄일 수 있습니다. Secrets Manager 비밀에 대한 자동 교체를 구성하는 것이 좋습니다. 자세한 내용은 *AWS Secrets Manager 사용 설명서*에서 [AWS Secrets Manager 암호 교체](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)를 참조하세요.
### 문제 해결
Secrets Manager 보안 암호의 자동 교체를 켜려면 *AWS Secrets Manager 사용 설명서*의 [콘솔을 사용하여 AWS Secrets Manager 보안 암호의 자동 교체 설정을](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) 참조하세요. 교체를 위해 AWS Lambda 함수를 선택하고 구성해야 합니다.
## [SecretsManager.5] Secrets Manager 보안 암호에 태그를 지정해야 합니다.
**범주:** 식별 > 인벤토리 > 태그 지정
**심각도: ** 낮음
**리소스 유형:** `AWS::SecretsManager::Secret`
**AWS Config 규칙:** `tagged-secretsmanager-secret` (사용자 지정 Security Hub CSPM 규칙)
**스케줄 유형:** 변경이 트리거됨
**파라미터:**
| 파라미터 | 설명 | 형식 | 허용된 사용자 지정 값 | Security Hub CSPM 기본값 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 평가된 리소스에 포함되어야 하는 비시스템 태그 키 목록입니다. 태그 키는 대소문자를 구별합니다. | StringList(최대 6개 항목) | [AWS 요구](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 사항을 충족하는 1\$16개의 태그 키. | No default value |
이 제어는 AWS Secrets Manager 보안 암호에 파라미터에 정의된 특정 키가 있는 태그가 있는지 확인합니다`requiredTagKeys`. 보안 암호에 태그 키가 없거나 파라미터 `requiredTagKeys`에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 `requiredTagKeys`이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 보안 암호에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 `aws:`로 시작하는 시스템 태그는 무시됩니다.
태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [ABAC란 무엇입니까 AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)를 참조하세요.
**참고**
개인 식별 정보(PII)나 기타 기밀 정보 또는 민감한 정보를 태그에 추가하지 않습니다. 태그를 AWS 서비스비롯한 많은 사용자가 태그에 액세스할 수 있습니다 AWS Billing. 태그 지정 모범 사례는의 [AWS 리소스 태그 지정](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)을 참조하세요*AWS 일반 참조*.
### 문제 해결
Secrets Manager 보안 암호에 태그를 추가하려면 *AWS Secrets Manager 사용 설명서*의 [AWS Secrets Manager 보안 암호 태그](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) 지정을 참조하세요.