CloudWatch 파이프라인 확장
CloudWatch 파이프라인 확장은 파이프라인에 추가 기능을 제공합니다. 자격 증명 관리에 AWS Secrets Manager 통합을 사용할 수 있습니다.
AWS Secrets Manager 확장
AWS Secrets Manager에 대한 액세스 권한을 구성하여 자격 증명 및 민감한 구성 값을 검색할 수 있습니다. 이 확장은 인증 자격 증명이 필요한 서드 파티 소스에서만 지원됩니다.
구성
다음과 같은 파라미터를 사용하여 AWS Secrets Manager 확장을 구성합니다.
extension: aws: secrets: <secret-name>: secret_id: "<secret arn>" region: "<secret region>" sts_role_arn: "arn:aws:iam::123456789012:role/Example-Role" refresh_interval: PT1H disable_refresh: false
Parameters
aws.secrets.<secret-name>.secret_id(필수)-
자격 증명이 포함된 AWS Secrets Manager 보안 암호의 ARN입니다.
aws.secrets.<secret-name>.region(필수)-
보안 암호가 저장되는 AWS 리전입니다.
aws.secrets.<secret-name>.sts_role_arn(필수)-
AWS Secrets Manager 보안 암호에 액세스하기 위해 부여할 IAM 역할의 ARN입니다.
aws.secrets.<secret-name>.refresh_interval(선택 사항)-
AWS Secrets Manager에서 보안 암호를 새로 고치는 빈도입니다. ISO 8601 기간 형식을 사용합니다. 기본값은 PT1H(1시간)입니다.
aws.secrets.<secret-name>.disable_refresh(선택 사항)-
자동 보안 암호 새로 고침을 비활성화할지 설정합니다. 기본값은 false입니다.
보안 암호 참조 구문
다음과 같은 구문을 사용하여 파이프라인 구성에서 보안 암호를 참조합니다.
${{aws_secrets:<secret-name>:<key>}}
예를 들어 클라이언트 ID와 보안 암호를 참조하는 방법은 다음과 같습니다.
source: microsoft_office365: authentication: oauth2: client_id: "${{aws_secrets:office365-creds:client_id}}" client_secret: "${{aws_secrets:office365-creds:client_secret}}"
요구 사항 및 제한 사항
- 보안 암호 형식
-
보안 암호는 AWS Secrets Manager에 JSON 키-값 페어로 저장해야 합니다.
- 교차 리전 액세스
-
AWS Secrets Manager를 사용할 수 있는 모든 리전에서 보안 암호에 액세스할 수 있습니다.
- 새로 고침 간격 제한
-
최소 새로 고침 간격은 5분(PT5M)입니다. 최대 간격은 24시간(PT24H)입니다.
- 최대 보안 암호 수
-
파이프라인은 서로 다른 보안 암호를 최대 10개까지 참조할 수 있습니다.
중요
보안 암호를 사용할 경우 다음과 같은 사항을 고려하세요.
-
IAM 역할에 보안 암호에 액세스할 수 있는 적절한 권한이 있는지 확인
-
AWS CloudTrail을 사용하여 보안 암호 액세스 모니터링
-
다양한 환경(개발, 프로덕션)마다 별도의 보안 암호 사용
