보안 암호 및 리소스 정책 관리 - Amazon Connect
Secrets Manager 보안 암호에 대한 리소스 기반 정책의 예에 대한 리소스 기반 정책의 예 AWS KMS keySecrets Manager 보안 암호에 리소스 기반 정책 연결KMS 키에 리소스 기반 정책 연결API 키 교체

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안 암호 및 리소스 정책 관리

타사 스피치 공급자를 구성할 때 Secrets Manager에서 스피치 공급자의 API 키가 포함된 암호를 생성해야 합니다. 보안 암호 생성은 2단계 프로세스입니다.

  • API 키가 포함된 보안 암호를 생성합니다. 지침은 AWS Secrets Manager 보안 암호 생성을 참조하세요.

  • 필요한 권한을 구성합니다.

    • 보안 암호에 리소스 기반 정책을 연결합니다.

    • 보안 암호와 연결된 KMS 키(API 키 아님)에 리소스 기반 정책을 연결합니다. KMS 키는 보안 암호의 API 키를 보호합니다.

    이러한 정책을 통해 Amazon Connect는 보안 암호 내의 API 키에 액세스할 수 있습니다. 기본 aws/secretsmanager KMS 키는 사용할 수 없습니다. 새 키를 생성하거나 기존 고객 관리형 키를 사용해야 합니다. KMS 키가 보안 암호를 보호하는 방법에 대한 자세한 내용은 Secrets Manager의 보안 암호 암호화 및 암호 해독을 참조하세요.

보안 암호에 대한 리소스 기반 정책에 aws:SourceAccountaws:SourceArn 혼동된 대리자 조건(혼동된 대리자 문제 참조)이 포함되어 있고 KMS 키에 대한 리소스 기반 정책에 kms:EncryptionContext:SecretARN 조건이 포함되어 있는지 확인합니다. 이렇게 하면 Amazon Connect가 단일 특정 인스턴스의 컨텍스트에서만 API 키 보안 암호에 액세스할 수 있고 해당 인스턴스와 특정 보안 암호의 컨텍스트에서만 KMS 키에 액세스할 수 있습니다.

Secrets Manager 보안 암호에 대한 리소스 기반 정책의 예

다음은 보안 암호에 연결할 수 있는 리소스 기반 정책의 예입니다.


{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///"
        }
      }
    }
  ]
}

에 대한 리소스 기반 정책의 예 AWS KMS key

다음은 KMS 키에 연결할 수 있는 리소스 기반 정책의 예입니다.


{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///",
          "kms:EncryptionContext:SecretARN": "///the ARN of your secrets manager secret///"
        }
      }
    }
  ]
}

Secrets Manager 보안 암호에 리소스 기반 정책 연결

리소스 기반 정책을 보안 암호에 연결하려면 내의 Secrets Manager 콘솔로 이동하여 보안 암호로 AWS Management 콘솔이동하고 권한 또는 리소스 권한 편집을 선택한 다음 예제와 비슷하도록 페이지에서 직접 리소스 정책을 추가하거나 수정합니다Secrets Manager 보안 암호에 대한 리소스 기반 정책의 예. AWS CLI의 put-resource-policy 명령을 통해 또는 PutResourcePolicy API 작업을 사용하여 프로그래밍 방식으로 리소스 정책을 연결할 수도 있습니다.

KMS 키에 리소스 기반 정책 연결

리소스 기반 정책을 KMS 키에 연결하려면 내의 AWS Key Management Service 콘솔로 이동하여 KMS 키로 AWS Management 콘솔이동하고 키 정책을 예제처럼 편집합니다. AWS CLI의 put-key-policy 명령을 통해 또는 PutKeyPolicy API 작업을 사용하여 프로그래밍 방식으로 키를 업데이트할 수도 있습니다.

API 키 교체

손상 위험을 최소화하고 긴급 상황에서 잘 작동하는 키 교체 프로세스를 유지하려면 최소 90일마다 API 키를 교체하는 것이 좋습니다.

API 키를 교체하려면 키가 포함된 보안 암호를 교체해야 합니다. 보안 암호 교체 방법에 대한 자세한 내용은 Secrets Manager 사용 설명서의 Secrets Manager 보안 암호 교체를 참조하세요. API 키를 교체할 때는 이전 키의 사용량이 0으로 떨어질 때까지 기다렸다가 이전 API 키를 취소하여 진행 중인 요청이 영향을 받지 않도록 하는 것이 좋습니다.