기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Secrets Manager VPC 엔드포인트 사용
가능한 경우 대부분의 인프라를 퍼블릭 인터넷에서 액세스할 수 없는 프라이빗 네트워크에서 실행하는 것이 좋습니다. 인터페이스 VPC 엔드포인트를 생성하여 VPC와 Secrets Manager 간에 프라이빗 연결을 설정할 수 있습니다. 인터페이스 엔드포인트는 인터넷 게이트웨이AWS PrivateLink
Secret Manager가 Lambda 교체 함수를 사용하여 암호를 교체할 때(예: 데이터베이스 자격 증명이 포함된 암호) Lambda 함수는 데이터베이스와 Secret Manager 모두에게 요청을 합니다. 콘솔을 사용하여 자동 교체를 설정하면 Secrets Manager가 데이터베이스와 동일한 VPC에 Lambda 함수를 생성합니다. Lambda 교체 함수에서 Secrets Manager로의 요청이 Amazon 네트워크를 벗어나지 않도록 동일한 VPC의 Secrets Manager 엔드포인트를 생성하는 것이 좋습니다.
엔드포인트에 프라이빗 DNS를 사용하도록 설정하는 경우, 리전에 대한 기본 DNS 이름(예: secretsmanager.us-east-1.amazonaws.com)을 사용하여 Secrets Manager에 API 요청을 할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서의 인터페이스 엔드포인트를 통해 서비스 액세스를 참조하세요.
권한 정책에 조건을 포함시켜 Secrets Manager에 대한 요청이 VPC 액세스에서 나오도록 할 수 있습니다. 자세한 내용은 예: 권한 및 VPC 단원을 참조하십시오.
AWS CloudTrail 로그를 사용하여 VPC 엔드포인트를 통해 보안 암호 사용을 감사할 수 있습니다.
Secrets Manager에 대한 VPC 엔드포인트를 생성하려면
-
자세한 내용은 Amazon VPC 사용 설명서의 인터페이스 엔드포인트 생성을 참조하세요. 다음 서비스 이름 중 하나를 사용합니다.
-
com.amazonaws.region.secretsmanager -
com.amazonaws.region.secretsmanager-fips
-
-
엔드포인트에 대한 액세스를 제어하려면 Control access to VPC endpoints using endpoint policies 단원을 참조하세요.
-
IPv6 및 듀얼 스택 주소 지정을 사용하려면 섹션을 참조하세요IPv4 및 IPv6 액세스.
엔드포인트의 엔드포인트 정책 생성
엔드포인트 정책은 인터페이스 인터페이스 엔드포인트에 연결할 수 있는 IAM 리소스입니다. 기본 엔드포인트 정책은 인터페이스 엔드포인트를 통해 Secrets Manager에 대한 전체 액세스를 허용합니다. VPC에서 Secrets Manager에 허용되는 액세스를 제어하려면 인터페이스 엔드포인트에 사용자 지정 엔드포인트 정책을 연결합니다.
엔드포인트 정책은 다음 정보를 지정합니다.
-
작업을 수행할 수 있는 보안 주체 (AWS 계정, IAM 사용자, IAM 역할)
-
수행할 수 있는 작업.
-
작업을 수행할 수 있는 리소스.
자세한 내용은AWS PrivateLink 가이드의 엔드포인트 정책을 사용하여 서비스에 대한 액세스 제어를 참조하세요.
예: Secrets Manager 작업에 대한 VPC 엔드포인트 정책
다음은 사용자 지정 엔드포인트 정책의 예입니다. 이 정책을 인터페이스 엔드포인트에 연결하면 지정된 보안 암호에 대해 나열된 Secrets Manager 작업에 대한 액세스 권한이 부여됩니다.
공유 서브넷
공유하는 서브넷의 VPC 엔드포인트는 생성, 설명, 수정 또는 삭제할 수 없습니다. 그러나 공유하는 서브넷의 VPC 엔드포인트를 사용할 수는 있습니다. VPC 공유에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서에서 다른 계정과 VPC 공유를 참조하세요.
