AWS Secrets Manager는 애플리케이션, 서비스 및 IT 리소스에 대한 액세스를 보호하는 데 도움이 되는 보안 정보 관리 서비스입니다. 이 서비스를 사용하면 수명 주기 동안 데이터베이스 자격 증명, API 키 및 기타 보안 정보를 손쉽게 교체, 관리 및 검색할 수 있습니다. Secrets Manager를 사용하면 AWS 클라우드, 타사 서비스 및 온프레미스에 있는 리소스에 액세스하는 데 사용되는 보안 정보를 보호하고 관리할 수 있습니다.
AWS Secrets Manager는 자체 인프라를 운영하기 위한 사전 투자 및 지속적인 유지 관리 비용 없이 애플리케이션, 서비스 및 IT 리소스에 대한 액세스를 보호할 수 있습니다.
Secrets Manager는 보안 정보를 저장하고 관리하는 안전하고 확장 가능한 방법을 찾고 있는 IT 관리자에게 유용합니다. 규제 및 규정 준수 요구 사항을 준수해야 하는 책임이 있는 보안 관리자는 애플리케이션에 영향을 미칠 위험 부담 없이 Secrets Manager를 사용하여 보안 정보를 모니터링하고 교체할 수 있습니다. 애플리케이션에 하드코딩된 보안 정보를 교체하려는 개발자는 Secrets Manager에서 프로그래밍 방식으로 보안 정보를 검색할 수 있습니다.
AWS Secrets Manager를 사용하면 보안 정보를 중앙에서 저장, 검색, 액세스 제어, 교체, 감사 및 모니터링할 수 있습니다.
저장 보안 정보를 암호화하여 권한이 없는 사용자가 민감한 정보를 볼 확률을 줄일 수 있습니다. 보안 정보를 검색하려면 Secrets Manager API를 사용하여 프로그래밍 방식으로 보안 정보를 가져오는 코드를 통해 애플리케이션의 일반 텍스트에 있는 보안 정보를 교체하면 됩니다. AWS Identity and Access Management(IAM) 정책을 사용하여 어떤 사용자 및 애플리케이션이 이러한 보안 정보에 액세스할 수 있는지 제어할 수 있습니다. 애플리케이션에 영향을 줄 위험 부담 없이 AWS에 호스팅된 데이터베이스 중 지원되는 데이터베이스 유형에서 예약된 일정 또는 필요에 따라 암호를 교체할 수 있습니다. 샘플 Lambda 함수를 수정하면 Amazon EC2에 호스팅된 Oracle 데이터베이스의 암호 또는 OAuth 갱신 토큰 등 다른 보안 정보를 교체하도록 이 기능을 확대 적용할 수 있습니다. 또한, Secrets Manager가 AWS CloudTrail, Amazon CloudWatch 및 Amazon Simple Notification Service(Amazon SNS)와 통합되므로 보안 정보를 감사하고 모니터링할 수 있습니다.
데이터베이스 자격 증명, 온프레미스 리소스 자격 증명, SaaS 애플리케이션 자격 증명, 타사 API 키 및 Secure Shell(SSH) 키와 같은 보안 정보를 관리할 수 있습니다. Secrets Manager를 사용하면 JSON 문서를 저장하여 64KB 미만의 텍스트 안내문을 관리할 수 있습니다.
기본적으로 Amazon Relational Database Service(RDS), Amazon DocumentDB 및 Amazon Redshift에 대한 자격 증명을 교체할 수 있습니다. Secrets Manager 설명서에 제공된 샘플 AWS Lambda 함수를 수정하여 EC2에 호스팅된 Oracle 데이터베이스용 자격 증명 또는 OAuth 갱신 토큰 등 다른 보안 정보를 교체하도록 Secrets Manager를 확대 적용할 수 있습니다.
먼저, AWS Identity and Access Management(IAM) 정책을 작성하여 애플리케이션에서 특정 보안 정보에 액세스하도록 허용해야 합니다. 그런 다음, 애플리케이션 소스 코드에서 Secrets Manager API를 사용하여 프로그래밍 방식으로 보안 정보를 가져오는 코드를 통해 일반 텍스트의 보안 정보를 교체하면 됩니다. 상세한 정보와 예제는 AWS Secrets Manager 사용 설명서를 참조하십시오.
AWS Secrets Manager를 시작하려면 다음을 수행하십시오.
AWS 서비스를 사용할 수 있는 현재 리전을 확인하려면 AWS 리전 표 페이지로 이동하십시오.
AWS Secrets Manager를 사용하면 예약된 일정에 따라 데이터베이스 자격 증명을 교체하도록 구성할 수 있습니다. 따라서 보안 모범 사례를 준수하고 안전하게 데이터베이스 자격 증명을 교체할 수 있습니다. 교체를 시작할 때 Secrets Manager는 사용자가 제공한 수퍼 데이터베이스 자격 증명을 사용하여 권한은 동일하지만 암호는 다른 복제 사용자를 생성합니다. 그런 다음 Secrets Manager는 데이터베이스 및 애플리케이션에 복제 사용자 정보를 전달하여 데이터베이스 자격 증명을 검색합니다. 교체에 대해 자세히 알아보려면 AWS Secrets Manager 교체 안내서를 참조하십시오.
아니요. 인증 작업은 연결이 설정되었을 때 이루어집니다. AWS Secrets Manager가 데이터베이스 자격 증명을 교체할 때, 열린 데이터베이스 연결을 다시 인증하지는 않습니다.
AWS Secrets Manager가 보안 정보를 교제할 때 알림을 받도록 Amazon CloudWatch Events를 구성할 수 있습니다. 또한, Secrets Manager 콘솔 또는 API를 사용해 AWS Secrets Manager가 언제 마지막으로 보안 정보를 교체했는지 확인할 수 있습니다.
AWS Secrets Manager는 사용자가 소유하고 AWS Key Management Service(KMS)에 저장한 암호화 키를 사용해 저장 보안 정보를 암호화합니다. 사용자는 AWS Identity and Access Management(IAM) 정책을 사용하여 보안 정보에 대한 액세스를 제어할 수 있습니다. 사용자가 보안 정보를 검색하면 Secrets Manager가 해당 보안 정보를 복호화하여 TLS를 통해 안전하게 로컬 환경으로 전송합니다. 기본적으로 Secrets Manager는 보안 정보를 영구 스토리지에 작성하거나 캐시하지 않습니다.
AWS Identity and Access Management(IAM) 정책을 사용하여 특정 보안 정보를 검색하거나 관리할 수 있는 사용자 및 애플리케이션의 액세스 권한을 제어할 수 있습니다. 예를 들어 개발자가 개발 환경에서 사용되는 보안 정보만 검색할 수 있도록 정책을 생성할 수 있습니다. 자세히 알아보려면 AWS Secrets Manager에 대한 인증 및 액세스 제어 페이지로 이동하십시오.
AWS Secrets Manager는 봉투 암호화(AES-256 암호화 알고리즘)를 사용하여 AWS Key Management Service(KMS)의 보안 정보를 암호화합니다.
Secrets Manager를 처음 사용할 때 보안 암호를 암호화할 AWS KMS 키를 지정할 수 있습니다. 사용자가 KMS 키를 제공하지 않으면, Secrets Manager가 계정에 대한 AWS KMS 기본 키를 자동으로 생성합니다. 보안 정보가 저장되면 Secrets Manager가 KMS에 일반 텍스트 및 암호화된 데이터 키를 요청합니다. Secrets Manager는 일반 텍스트 데이터 키를 사용하여 메모리에 있는 보안 정보를 암호화합니다. AWS Secrets Manager는 암호화된 보안 정보와 암호화된 데이터 키를 저장 및 유지 관리합니다. 보안 정보를 검색하면 Secrets Manager가 AWS KMS 기본 키를 사용해 데이터 키를 복호화하고, 일반 텍스트 데이터 키를 사용해 보안 정보를 복호화합니다. 데이터 키는 암호화되어 저장되며 절대 디스크에 일반 텍스트로 기록되지 않습니다. 또한, Secrets Manager는 일반 텍스트 보안 정보를 영구 스토리지에 작성하거나 캐시하지 않습니다.
Secrets Manager에서는 사용한 만큼만 비용을 지불하며 최소 요금이 없습니다. 서비스를 시작하기 위한 설정 비용이나 약정이 없습니다. 월말에 사용자의 신용 카드에서 월 사용액이 자동으로 결제됩니다. 매달 저장하는 보안 정보 수와 서비스로 요청한 API 호출 수에 대한 요금이 부과됩니다.
현재 요금 정보는 AWS Secrets Manager 요금 페이지를 참조하세요.
예. AWS Secrets Manager 30일 무료 평가판을 통해 추가 비용 없이 Secrets Manager를 사용해 볼 수 있습니다. 무료 평가판에서는 30일 동안 보안 정보를 교체, 관리 및 검색할 수 있습니다. 사용자가 보안 정보를 처음 저장하면 무료 평가판이 시작됩니다.