보안 및 권한

관리형 외부 보안 암호는 타사 애플리케이션 계정의 관리자 수준 권한을 공유할 필요가 없습니다 AWS. 대신 교체 프로세스는 사용자가 제공하는 자격 증명과 메타데이터를 사용하여 자격 증명 업데이트 및 검증을 위해 타사 애플리케이션에 승인된 API를 호출합니다.

관리형 외부 보안 암호는 다른 Secrets Manager 보안 암호 유형과 동일한 보안 표준을 유지합니다. 보안 암호 값은 KMS 키를 사용하여 저장 시 암호화되고 TLS를 사용하여 전송 중에 암호화됩니다. 보안 암호에 대한 액세스는 IAM 정책 및 리소스 기반 정책을 통해 제어됩니다. 고객 관리형 키를 사용하여 보안 암호를 암호화하는 경우 교체 역할의 IAM 정책 및 CMK 신뢰 정책을 업데이트하여 성공적인 교체를 보장하는 데 필요한 권한을 제공해야 합니다.

교체가 제대로 작동하려면 Secrets Manager에 보안 암호 수명 주기를 관리할 수 있는 특정 권한을 제공해야 합니다. 이러한 권한은 개별 보안 암호로 범위가 지정될 수 있으며 최소 권한 원칙을 따릅니다. 제공하는 교체 역할은 설정 중에 검증되며 교체 작업에만 사용됩니다.

AWS Secrets Manager 또한는 Secrets Manager 콘솔을 통해 보안 암호를 생성할 때 보안 암호를 관리하는 데 필요한 권한으로 IAM 정책을 생성하는 단일 터치 솔루션을 제공합니다. 이 역할에 대한 권한은 각 리전의 각 통합 파트너에 대해 범위가 축소됩니다.

권한 정책 예제:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowRotationAccess",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:PutSecretValue",
        "secretsmanager:UpdateSecretVersionStage"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "secretsmanager:resource/Type": "SalesforceClientSecret"
        }
      }
    },
    {
      "Sid": "AllowPasswordGenerationAccess",
      "Action": [
        "secretsmanager:GetRandomPassword"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

참고: secretsmanager:resource/Type에 사용할 수 있는 보안 암호 유형 목록은 통합 파트너에서 확인할 수 있습니다.

신뢰 정책 예:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "SecretsManagerPrincipalAccess",
      "Effect": "Allow",
      "Principal": {
        "Service": "secretsmanager.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*"
        }
      }
    }
  ]
}