AWS Secrets Manager에서 보안 암호 암호화 및 복호화 - AWS Secrets Manager
AWS KMS 키 선택무엇을 암호화하나요?암호화 및 복호화 프로세스KMS 키에 대한 권한Secrets Manager에서 KMS 키를 사용하는 방법AWS 관리형 키(aws/secretsmanager)의 키 정책Secrets Manager 보안 암호 컨텍스트Secrets Manager와 AWS KMS의 상호 작용 모니터링

AWS Secrets Manager에서 보안 암호 암호화 및 복호화

Secrets Manager는 AWS KMS 데이터 키로 봉투 암호화를 사용하여 각 보안 암호 값을 보호합니다. 보안 암호의 보안 암호 값이 변경될 때마다 Secrets Manager는 AWS KMS에서 새 데이터 키를 요청하여 보안 암호 값을 보호합니다. KMS 키 아래에 암호화된 데이터 키는 보안 암호의 메타데이터에 저장합니다. 보안 암호를 복호화하려는 경우 Secrets Manager는 먼저 AWS KMS의 KMS 키를 사용하여 암호화된 데이터 키를 복호화해야 합니다.

Secrets Manager에서는 KMS를 사용하여 보안 암호 값을 직접 암호화하지 않습니다. 대신 KMS 키를 사용하여 256비트 고급 암호화 표준(AES) 대칭 데이터 키를 생성하고 암호화하며 데이터 키를 사용하여 보안 암호 값을 암호화합니다. Secrets Manager는 일반 텍스트 데이터 키를 사용하여 AWS KMS 외부에서 보안 암호 값을 암호화하며, 이를 호출한 후 메모리에서 제거합니다. 데이터 키의 암호화된 사본을 암호의 메타데이터에 저장합니다.

AWS KMS 키 선택

보안 암호를 생성할 때 AWS 계정 및 리전에서 대칭 암호화 고객 관리형 키를 선택하거나 Secrets Manager(aws/secretsmanager)의 AWS 관리형 키를 사용할 수 있습니다. AWS 관리형 키 aws/secretsmanager를 선택했는데 아직 존재하지 않는 경우, Secrets Manager는 이를 생성하여 보안 암호와 연결합니다. 계정의 각 보안 암호에 대해 동일한 KMS 또는 다른 KMS 키를 사용할 수 있습니다. 암호 그룹의 키에 대한 사용자 지정 권한을 설정하거나 해당 키에 대한 특정 작업을 감사하려는 경우 다른 KMS 키를 사용할 수 있습니다. Secrets Manager는 대칭 암호화 KMS 키만 지원합니다. 외부 키 스토어에서 KMS 키를 사용하는 경우 요청이 AWS 외부로 이동해야 하므로 KMS 키에 대한 암호화 작업이 더 오래 걸리고 신뢰성과 내구성이 떨어질 수 있습니다.

보안 암호의 암호화 키를 변경하는 방법에 대한 자세한 내용은 AWS Secrets Manager 보안 암호에 대한 암호화 키 변경을(를) 참조하세요.

암호화 키를 변경하면 Secrets Manager가 새 키로 AWSCURRENT, AWSPENDING, AWSPREVIOUS 버전을 다시 암호화합니다. 보안 암호가 잠기는 것을 방지하기 위해 Secrets Manager는 모든 기존 버전을 이전 키로 암호화합니다. 즉, 이전 키 또는 새 키를 사용하여 AWSCURRENT, AWSPENDING, AWSPREVIOUS 버전을 복호화할 수 있습니다. 이전 키에 대한 kms:Decrypt 권한이 없는 경우, 암호화 키를 변경하면 Secrets Manager는 보안 암호 버전을 복호화하여 이를 다시 암호화할 수 없습니다. 이 경우 기존 버전은 다시 암호화되지 않습니다.

AWSCURRENT가 새 암호화 키로만 복호화할 수 있도록 하려면 새 키로 새 버전의 보안 암호를 생성합니다. 그런 다음, AWSCURRENT 보안 암호 버전을 복호화하려면 새 키에 대한 권한이 있어야 합니다.

AWS 관리형 키 aws/secretsmanager에 대한 권한을 거부할 수 있으며 고객 관리형 키로 보안 암호를 암호화해야 합니다. 자세한 내용은 예: 보안 암호를 암호화하는 특정 AWS KMS 키 거부 섹션을 참조하세요.

보안 암호와 연결된 KMS 키를 찾으려면 콘솔에서 보안 암호를 확인하거나 ListSecrets 또는 DescribeSecret에서 호출합니다. 보안 암호가 Secrets Manager(aws/secretsmanager)의 AWS 관리형 키와 연결된 경우 이러한 작업은 KMS 키 식별자를 반환하지 않습니다.

무엇을 암호화하나요?

Secrets Manager는 암호 값을 암호화하지만 다음 항목은 암호화하지 않습니다.

  • 보안 암호 이름 및 설명

  • 교체 설정

  • 보안 암호와 연결된 KMS 키의 ARN

  • 연결된 모든 AWS 태그

암호화 및 복호화 프로세스

Secrets Manager는 다음 프로세스에 따라 보안 암호의 보안 암호 값을 암호화합니다.

  1. Secrets Manager는 보안 암호용 KMS 키 ID 및 256비트 AES 대칭 키에 대한 요청을 사용하여 AWS KMS GenerateDataKey 작업을 호출합니다. AWS KMS는 일반 텍스트 데이터 키와, KMS 키로 암호화된 해당 데이터 키의 복사본을 반환합니다.

  2. Secrets Manager는 일반 텍스트 데이터 키와 고급 암호화 표준(AES) 알고리즘을 사용하여 AWS KMS 외부에서 암호 값을 암호화합니다. 사용한 후에는 가능한 빨리 메모리에서 일반 텍스트 키를 제거합니다.

  3. Secrets Manager는 보안 암호 값을 복호화할 수 있도록 보안 암호의 메타데이터에 암호화된 데이터 키를 저장합니다. 하지만 Secrets Manager API 중에서 어떤 것도 암호화된 보안 암호나 암호화된 데이터 키를 반환하지 않습니다.

암호화된 암호 값을 해독하려면:

  1. Secrets Manager는 AWS KMS Decrypt 작업을 호출하고 암호화된 데이터 키를 전달합니다.

  2. AWS KMS는 보안 암호용 KMS 키를 사용하여 데이터 키를 복호화합니다. 그런 다음 일반 텍스트 데이터 키를 반환합니다.

  3. Secrets Manager는 일반 텍스트 데이터 키를 사용하여 보안 암호 값을 복호화합니다. 그런 다음 가능한 빨리 메모리에서 데이터 키를 제거합니다.

KMS 키에 대한 권한

Secrets Manager가 암호화 작업에서 KMS 키를 사용하는 경우 보안 암호 값에 액세스하거나 업데이트하는 사용자를 대신하여 KMS 키가 작동합니다. IAM 정책 또는 키 정책에서 권한을 부여할 수 있습니다. 다음 Secrets Manager 작업을 수행하려면 AWS KMS 권한이 필요합니다.

Secrets Manager의 권한 정책에서 생성된 요청에 대해서만 KMS 키를 사용할 수 있도록 하려면 kms:ViaService 조건 키secretsmanager.<Region>.amazonaws.com 값과 함께 사용합니다.

암호화 작업에 대한 KMS 키 사용 조건으로서 암호화 컨텍스트에서 키나 값을 사용할 수도 있습니다. 예를 들면 IAM 또는 키 정책 문서에서 문자열 조건 연산자를 사용하거나 권한 부여에서 권한 부여 제약을 사용할 수 있습니다. KMS 키 부여 전파에는 최대 5분이 걸릴 수 있습니다. 자세한 내용은 CreateGrant를 참조하세요.

Secrets Manager에서 KMS 키를 사용하는 방법

Secrets Manager는 KMS 키를 사용하여 다음과 같은 AWS KMS 작업을 호출합니다.

GenerateDataKey

Secrets Manager는 다음 Secrets Manager 작업에 대한 응답으로 AWS KMS GenerateDataKey 작업을 호출합니다.

  • CreateSecret - 새 보안 암호가 보안 암호 값을 포함하는 경우 Secrets Manager는 보안 암호 값을 암호화하기 위해 새 데이터 키를 요청합니다.

  • PutSecretValue – Secrets Manager는 지정된 보안 암호 값을 암호화하기 위해 새 데이터 키를 요청합니다.

  • ReplicateSecretToRegions - Secrets Manager는 복제된 보안 암호를 암호화하기 위해 복제본 리전의 KMS 키에 대한 데이터 키를 요청합니다.

  • UpdateSecret - 보안 암호 값 또는 KMS 키가 변경되는 경우 Secrets Manager는 새 보안 암호 값을 암호화하기 위해 새 데이터 키를 요청합니다.

RotateSecret 작업은 암호 값을 변경하지 않으므로 GenerateDataKey를 호출하지 않습니다. 하지만 RotateSecret에서 호출하는 Lambda 함수가 보안 암호 값을 변경하는 경우 PutSecretValue 작업에 대한 호출로 GenerateDataKey 요청이 트리거됩니다.

Decrypt

Secrets Manager는 다음 Secrets Manager 작업에 대한 응답으로 Decrypt 작업을 호출합니다.

  • GetSecretValueBatchGetSecretValue – Secrets Manager는 보안 암호 값을 발신자에게 반환하기 전에 보안 암호 값을 복호화합니다. 암호화된 보안 암호 값을 복호화하려면 Secrets Manager는 AWS KMS Decrypt 작업을 호출하여 보안 암호의 암호화된 데이터 키를 복호화합니다. 그런 다음, 일반 텍스트 데이터 키를 사용하여 암호화된 암호 값을 해독합니다. 배치 명령의 경우 Secrets Manager는 해독된 키를 재사용할 수 있으므로 일부 호출에서만 Decrypt 요청이 발생합니다.

  • PutSecretValueUpdateSecret - 대부분의 PutSecretValueUpdateSecret 요청은 Decrypt 작업을 트리거하지 않습니다. 하지만 PutSecretValue 또는 UpdateSecret 요청이 보안 암호의 기존 버전에서 보안 암호 값을 변경하려 할 경우 Secrets Manager는 기존 보안 암호 값을 복호화하고 요청의 보안 암호 값과 비교하여 동일한지 확인합니다. 이 작업을 통해 Secrets Manager 작업의 idempotent가 유지됩니다. 암호화된 보안 암호 값을 복호화하려면 Secrets Manager는 AWS KMS Decrypt 작업을 호출하여 보안 암호의 암호화된 데이터 키를 복호화합니다. 그런 다음, 일반 텍스트 데이터 키를 사용하여 암호화된 암호 값을 해독합니다.

  • ReplicateSecretToRegions – Secrets Manager는 복제본 리전의 KMS 키를 사용하여 다시 암호화하기 전에 먼저 보안 암호 값을 해독합니다.

Encrypt

Secrets Manager는 다음 Secrets Manager 작업에 대한 응답으로 Encrypt 작업을 호출합니다.

  • UpdateSecret - KMS 키를 변경하면 Secrets Manager는 새 키로 AWSCURRENT, AWSPREVIOUSAWSPENDING 보안 암호 버전을 보호하는 데이터 키를 다시 암호화합니다.

DescribeKey

Secrets Manager는 Secrets Manager 콘솔에서 암호를 생성하거나 편집할 때 DescribeKey 작업을 호출하여 KMS 키를 나열할지 여부를 결정합니다.

KMS 키에 대한 액세스 검증

보안 암호와 연결된 KMS 키를 설정하거나 변경할 때 Secrets Manager는 지정된 KMS 키를 사용하여 GenerateDataKeyDecrypt 작업을 호출합니다. 이러한 호출은 발신자가 해당 작업에 대해 KMS 키를 사용할 수 있는 권한이 있는지 확인합니다. Secrets Manager는 이러한 작업의 결과를 무시하며, 암호화된 작업에서 사용하지 않습니다.

이러한 요청에서는 SecretVersionId암호화 컨텍스트 값이 RequestToValidateKeyAccess이므로 이와 같은 검증 호출을 식별할 수 있습니다.

참고

예전에는 Secrets Manager 검증 호출에 암호화 컨텍스트가 포함되지 않았습니다. 오래된 AWS CloudTrail 로그에서는 암호화 컨텍스트가 없는 호출을 찾아볼 수 있습니다.

AWS 관리형 키(aws/secretsmanager)의 키 정책

Secrets Manager(aws/secretsmanager)용 AWS 관리형 키에 대한 키 정책은 Secrets Manager에서 사용자를 대신하여 요청할 때만 지정된 작업에 대해 KMS 키를 사용할 수 있는 권한을 사용자에게 부여합니다. 키 정책에서는 사용자가 KMS 키를 직접 사용하도록 허용하지 않습니다.

이 키 정책은 모든 AWS 관리형 키의 정책처럼 서비스에 의해 설정됩니다. 키 정책은 변경할 수 없지만 언제든지 볼 수 있습니다. 자세한 내용은 키 정책 보기를 참조하세요.

키 정책의 정책 설명문은 다음 효과를 갖습니다.

  • 계정 내 사용자가 Secrets Manager를 통해 대신 요청할 때만 암호화 작업에 대해 KMS 키를 사용할 수 있도록 합니다. kms:ViaService 조건 키는 이 제한을 강제 적용합니다.

  • AWS 계정에서 사용자가 KMS 키 속성을 보고 권한 부여를 취소하도록 허용하는 IAM 정책을 생성할 수 있도록 합니다.

  • Secrets Manager는 권한 부여를 사용하여 KMS 키에 대한 액세스 권한을 얻지는 않지만 정책은 Secrets Manager로 하여금 사용자를 대신하여 KMS 키에 대한 권한 부여를 생성하도록 하고 계정으로 하여금 Secrets Manager가 KMS 키를 사용하도록 허용하는 모든 권한 부여를 취소하도록 합니다. 이러한 정책은 AWS 관리형 키용 정책 문서의 표준 요소입니다.

다음은 Secrets Manager용 AWS 관리형 키 예시에 대한 키 정책입니다.

JSON
{
  "Id": "auto-secretsmanager-2",
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow access through AWS Secrets Manager for all principals in the account that are authorized to use AWS Secrets Manager",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "*"
        ]
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:CallerAccount": "111122223333",
          "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com"
        }
      }
    },
    {
      "Sid": "Allow access through AWS Secrets Manager for all principals in the account that are authorized to use AWS Secrets Manager",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "*"
        ]
      },
      "Action": "kms:GenerateDataKey*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:CallerAccount": "111122223333"
        },
        "StringLike": {
          "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com"
        }
      }
    },
    {
      "Sid": "Allow direct access to key metadata to the account",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::111122223333:root"
        ]
      },
      "Action": [
        "kms:Describe*",
        "kms:Get*",
        "kms:List*",
        "kms:RevokeGrant"
      ],
      "Resource": "*"
    }
  ]
}

Secrets Manager 보안 암호 컨텍스트

암호화 컨텍스트는 보안되지 않은 임의의 데이터를 포함하는 키-값 페어 세트입니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하는 경우 AWS KMS는 암호화된 데이터에 암호화 컨텍스트를 암호 방식으로 바인딩합니다. 따라서 동일한 암호화 컨텍스트로 전달해야 이 데이터를 해독할 수 있습니다.

AWS KMS에 대한 GenerateDataKeyDecrypt 요청에서 Secrets Manager는 다음 예시와 같이 보안 암호와 해당 버전을 식별하는 두 개의 이름-값 페어가 있는 암호화 컨텍스트를 사용합니다. 이름은 달라지지 않지만, 결합된 암호화 컨텍스트 값은 각 암호 값마다 다릅니다.

"encryptionContext": {
    "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3",
    "SecretVersionId": "EXAMPLE1-90ab-cdef-fedc-ba987SECRET1"
}

암호화 컨텍스트를 사용하여 AWS CloudTrail 및 Amazon CloudWatch Logs 같은 감사 레코드 및 로그에서 정책 및 권한 부여의 승인 조건으로서 이러한 암호화 작업을 식별할 수 있습니다.

Secrets Manager 암호화 컨텍스트는 이름-값 페어 두 개로 구성됩니다.

  • SecretARN - 첫 번째 이름-값 페어는 보안 암호를 식별합니다. 키는 SecretARN입니다. 이 값은 암호의 Amazon 리소스 이름(ARN)입니다.

    "SecretARN": "ARN of an Secrets Manager secret"

    예를 들어, 보안 암호 ARN이 arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3이면 암호화 컨텍스트는 다음 페어를 포함합니다.

    "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3"

  • SecretVersionId - 두 번째 이름-값 페어는 보안 암호의 버전을 식별합니다. 키는 SecretVersionId입니다. 이 값은 버전 ID입니다.

    "SecretVersionId": "<version-id>"

    예를 들어, 보안 암호의 버전 ID가 EXAMPLE1-90ab-cdef-fedc-ba987SECRET1이면 암호화 컨텍스트에는 다음 페어가 포함됩니다.

    "SecretVersionId": "EXAMPLE1-90ab-cdef-fedc-ba987SECRET1"

보안 암호에 대한 KMS 키를 설정하거나 변경할 때 Secrets Manager는 발신자가 이러한 작업에 대해 KMS 키를 사용할 수 있는 권한이 있는지 검증하도록 GenerateDataKeyDecrypt 요청을 AWS KMS로 전송합니다. 응답을 무시하므로 암호 값에 응답을 사용하지 않습니다.

이러한 검증 요청에서 SecretARN의 값은 암호의 실제 ARN이지만, SecretVersionId 값은 다음 예시 암호화 컨텍스트에서 나와 있는 것처럼 RequestToValidateKeyAccess입니다. 이 특수 값은 로그 및 감사 내역에서 검증 요청을 식별하는 데 도움이 됩니다.

"encryptionContext": {
    "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3",
    "SecretVersionId": "RequestToValidateKeyAccess"
}
참고

예전에는 Secrets Manager 검증 호출에 암호화 컨텍스트가 포함되지 않았습니다. 오래된 AWS CloudTrail 로그에서는 암호화 컨텍스트가 없는 호출을 찾아볼 수 있습니다.

Secrets Manager와 AWS KMS의 상호 작용 모니터링

AWS CloudTrail 및 Amazon CloudWatch Logs를 사용하여 Secrets Manager가 사용자 대신 AWS KMS로 전송하는 요청을 추적할 수 있습니다. 보안 암호 사용 모니터링에 대한 자세한 내용은 AWS Secrets Manager 보안 암호 모니터링 섹션을 참조하세요.

GenerateDataKey

보안 암호에서 보안 암호 값을 생성하거나 변경할 때 Secrets Manager는 보안 암호에 대한 KMS 키를 지정하도록 GenerateDataKey 요청을 AWS KMS로 전송합니다.

GenerateDataKey 작업을 기록하는 이벤트는 다음 예시 이벤트와 유사합니다. 이 요청은 secretsmanager.amazonaws.com에 의해 호출됩니다. 파라미터로는 보안 암호용 KMS 키의 Amazon 리소스 이름(ARN), 256비트 키를 요구하는 키 지정자, 그리고 보안 암호와 버전을 식별하는 암호화 컨텍스트가 있습니다.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AROAIGDTESTANDEXAMPLE:user01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/user01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2018-05-31T23:23:41Z"
            }
        },
        "invokedBy": "secretsmanager.amazonaws.com"
    },
    "eventTime": "2018-05-31T23:23:41Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "secretsmanager.amazonaws.com",
    "userAgent": "secretsmanager.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "keySpec": "AES_256",
        "encryptionContext": {
            "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3",
            "SecretVersionId": "EXAMPLE1-90ab-cdef-fedc-ba987SECRET1"
        }
    },
    "responseElements": null,
    "requestID": "a7d4dd6f-6529-11e8-9881-67744a270888",
    "eventID": "af7476b6-62d7-42c2-bc02-5ce86c21ed36",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}
Decrypt

보안 암호의 보안 암호 값을 가져오거나 변경할 때 Secrets Manager는 Decrypt 요청을 AWS KMS에 전송하여 암호화된 데이터 키를 복호화합니다. 배치 명령의 경우 Secrets Manager는 해독된 키를 재사용할 수 있으므로 일부 호출에서만 Decrypt 요청이 발생합니다.

Decrypt 작업을 기록하는 이벤트는 다음 예시 이벤트와 유사합니다. 사용자는 테이블에 액세스 중인 AWS 계정에 있는 주체입니다. 파라미터에는 암호화된 테이블 키(암호화 텍스트 blob)와, 테이블 및 AWS 계정을 식별하는 암호화 컨텍스트가 포함됩니다. AWS KMS는 암호화 텍스트에서 KMS 키의 ID를 파생합니다.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AROAIGDTESTANDEXAMPLE:user01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/user01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2018-05-31T23:36:09Z"
            }
        },
        "invokedBy": "secretsmanager.amazonaws.com"
    },
    "eventTime": "2018-05-31T23:36:09Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "secretsmanager.amazonaws.com",
    "userAgent": "secretsmanager.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3",
            "SecretVersionId": "EXAMPLE1-90ab-cdef-fedc-ba987SECRET1"
        }
    },
    "responseElements": null,
    "requestID": "658c6a08-652b-11e8-a6d4-ffee2046048a",
    "eventID": "f333ec5c-7fc1-46b1-b985-cbda13719611",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}
Encrypt

보안 암호와 연결된 KMS 키를 변경하면 Secrets Manager가 Encrypt 요청을 AWS KMS로 보내 AWSCURRENT, AWSPREVIOUSAWSPENDING 보안 암호 버전을 새 키로 다시 암호화합니다. 보안 암호를 다른 리전에 복제하는 경우에도 Secrets Manager가 AWS KMS로 암호화 요청을 보냅니다.

Encrypt 작업을 기록하는 이벤트는 다음 예시 이벤트와 유사합니다. 사용자는 테이블에 액세스 중인 AWS 계정에 있는 주체입니다.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AROAIGDTESTANDEXAMPLE:user01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/user01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-06-09T18:11:34Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "secretsmanager.amazonaws.com"
    },
    "eventTime": "2023-06-09T18:11:34Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Encrypt",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "secretsmanager.amazonaws.com",
    "userAgent": "secretsmanager.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-2:111122223333:key/EXAMPLE1-f1c8-4dce-8777-aa071ddefdcc",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:ChangeKeyTest-5yKnKS",
            "SecretVersionId": "EXAMPLE1-5c55-4d7c-9277-1b79a5e8bc50"
        }
    },
    "responseElements": null,
    "requestID": "129bd54c-1975-4c00-9b03-f79f90e61d60",
    "eventID": "f7d9ff39-15ab-47d8-b94c-56586de4ab68",
    "readOnly": true,
    "resources": [
        {
            "accountId": "AWS Internal",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/EXAMPLE1-f1c8-4dce-8777-aa071ddefdcc"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}