저장 시 암호화 전송 중 데이터 암호화 인터네트워크 트래픽 개인 정보 보호 암호화 키 관리

의 데이터 보호 AWS Secrets Manager

AWS 공동 책임 모델의 데이터 보호에 적용됩니다 AWS Secrets Manager. 이 모델에 설명된 대로 AWS 는 모든를 실행하는 글로벌 인프라를 보호할 책임이 있습니다 AWS 클라우드. 사용자는 인프라에서 호스팅되는 콘텐츠를 관리해야 합니다. 이 콘텐츠에는 사용하는 AWS 서비스 서비스의 보안 구성과 관리 작업이 포함되어 있습니다. 데이터 프라이버시에 대한 자세한 내용은 데이터 프라이버시 FAQ를 참조하십시오. 유럽의 데이터 보호에 대한 자세한 내용은 AWS 보안 블로그의 AWS 공동 책임 모델 및 GDPR 블로그 게시물을 참조하세요.

데이터 보호를 위해 자격 AWS 계정 증명을 보호하고 AWS Identity and Access Management (IAM)을 사용하여 개별 사용자 계정을 설정하는 것이 좋습니다. 이러한 방식에서는 각 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.

각 계정에 다중 인증(MFA)을 사용합니다.
SSL/TLS를 사용하여 AWS 리소스와 통신합니다. Secrets Manager는 모든 리전에서 TLS 1.2 및 1.3을 지원합니다. Secrets Manager는 TLS (PQTLS) 네트워크 암호화 프로토콜에 대한 하이브리드 포스트 양자 키 교환 옵션도 지원합니다.
IAM 보안 주체와 연결되어 있는 액세스 키 ID 및 비밀 액세스 키를 사용하여 Secrets Manager에 대한 프로그래밍 방식 요청에 서명합니다. 또는 AWS Security Token Service(AWS STS)를 사용하여 임시 보안 자격 증명을 생성하여 요청에 서명할 수 있습니다.
를 사용하여 API 및 사용자 활동 로깅을 설정합니다 AWS CloudTrail. 를 사용하여 AWS Secrets Manager 이벤트 로깅 AWS CloudTrail을 참조하세요.
명령줄 인터페이스 또는 API를 AWS 통해에 액세스할 때 FIPS 140-2 검증 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용합니다. AWS Secrets Manager 엔드포인트을 참조하세요.
를 사용하여 Secrets Manager AWS CLI 에 액세스하는 경우 . 를 사용하여 AWS CLIAWS Secrets Manager 보안 암호를 저장할 때의 위험 완화

저장 시 암호화

Secrets Manager는 AWS Key Management Service (AWS KMS)를 통한 암호화를 사용하여 저장 데이터의 기밀성을 보호합니다.는 많은 AWS 서비스에서 사용하는 키 스토리지 및 암호화 서비스를 AWS KMS 제공합니다. Secrets Manager의 모든 보안 암호는 고유한 데이터 키로 암호화됩니다. 각 데이터 키는 KMS 키에 의해 보호됩니다. 계정에 대한 Secrets Manager AWS 관리형 키 로 기본 암호화를 사용하거나, AWS KMS에서 고유한 고객 관리형 키를 생성할 수도 있습니다. 고객 관리형 키를 사용하면 KMS 키 활동에 대한 권한 부여를 보다 세부적으로 제어할 수 있습니다. 자세한 내용은 의 보안 암호 암호화 및 복호화 AWS Secrets Manager 단원을 참조하십시오.

전송 중 데이터 암호화

Secrets Manager는 전송 중인 데이터를 암호화하기 위해 안전한 프라이빗 엔드포인트를 제공합니다. 보안 및 프라이빗 엔드포인트를 사용하면 AWS 가 Secrets Manager에 대한 API 요청의 무결성을 보호할 수 있습니다. AWS 에서는 호출자가 X.509 인증서 및/또는 Secrets Manager 보안 액세스 키를 사용하여 API 호출에 서명해야 합니다. 이 요구 사항은 Signature 버전 4 서명 프로세스(Sigv4)에 명시되어 있습니다.

AWS Command Line Interface (AWS CLI) 또는 AWS SDKs를 사용하여를 호출하는 경우 사용할 액세스 키를 AWS구성합니다. 그런 다음 이러한 도구는 자동으로 액세스 키를 사용하여 요청에 서명합니다. 를 사용하여 AWS CLIAWS Secrets Manager 보안 암호를 저장할 때의 위험 완화을 참조하세요.

인터네트워크 트래픽 개인 정보 보호

AWS 는 알려진 및 프라이빗 네트워크 경로를 통해 트래픽을 라우팅할 때 프라이버시를 유지하기 위한 옵션을 제공합니다.

서비스와 온프레미스 클라이언트 및 애플리케이션 간의 트래픽

프라이빗 네트워크와 간에 AWS Secrets Manager는 두 가지 연결 옵션이 있습니다.

An AWS Site-to-Site VPN 연결. 자세한 내용은 What is AWS Site-to-Site VPN?을 참조하세요.
AWS Direct Connect 연결. 자세한 내용은 AWS Direct Connect란 무엇입니까?를 참조하세요.

동일한 리전의 AWS 리소스 간 트래픽

에서 Secrets Manager와 API 클라이언트 간의 트래픽을 보호하려면 Secrets Manager API 엔드포인트에 비공개로 액세스하도록 AWS PrivateLink를 AWS설정합니다.

암호화 키 관리

Secrets Manager가 보호된 보안 암호 데이터의 새 버전을 암호화해야 하는 경우 Secrets Manager는 KMS 키에서 새 데이터 키를 생성 AWS KMS 하라는 요청을에 보냅니다. Secrets Manager는 봉투 암호화(envelope encryption)에 이 데이터 키를 사용합니다. Secrets Manager는 암호화된 데이터 키를 암호화된 보안 암호와 함께 저장합니다. 보안 암호를 해독해야 하는 경우 Secrets Manager는 데이터 키를 해독 AWS KMS 하도록 요청합니다. 그런 다음 Secrets Manager는 복호화된 데이터 키를 사용하여 암호화된 보안 암호를 복호화합니다. Secrets Manager는 데이터 키를 암호화되지 않은 형식으로 저장하지 않으며 가능한 한 빨리 메모리에서 키를 제거합니다. 자세한 내용은 의 보안 암호 암호화 및 복호화 AWS Secrets Manager 단원을 참조하십시오.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

온프레미스 액세스

보안 암호 암호화 및 복호화