| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 | 31 |
- devops
- client-vpn
- VPC
- CICD
- IAC
- zerotrust
- eks
- fargate
- secretmanager
- AWS
- CI/CD
- devop
- git
- saa-c03
- security
- cloud
- KISA
- docker-compose
- docekr
- VPN
- ECS
- docker
- DevSecOps
- 클라우드 보안
- kubernetes
- cloud trail
- cloiud
- Network
- 보안
- Container
- Today
- Total
Devsecops로 발전하는 엔지니어
AWS Secrets Manager – 2부: 보안 설계, IAM 정책, 리전 복제 전략 본문
AWS Secrets Manager – 2부: 보안 설계, IAM 정책, 리전 복제 전략
cloud/devops/opensource 관심 많은 곰 2025. 6. 26. 10:00✅ IAM 정책과 최소 권한 원칙
Secrets Manager는 보안 인증 정보를 저장하는 서비스인 만큼, 접근 권한 설정이 매우 중요합니다.
다음과 같은 원칙을 적용해야 합니다
- 최소 권한 원칙: 오직 필요한 Secret만 접근할 수 있도록 IAM 정책을 구성
- 속성 기반 제어 (ABAC): 태그 기반 접근 제어 사용 가능
- 리소스 기반 정책: Secret 단위로 리소스 정책을 붙여 접근 제어 가능
- IP 기반 제한: IAM 정책 또는 리소스 정책에 IP 조건 포함 가능 (aws:SourceIp)
예시로, 다음 정책은 퍼블릭 접근을 막고 특정 IP에서만 접근을 허용하는 조건
✅ BlockPublicPolicy로 퍼블릭 액세스 차단
Secrets Manager는 퍼블릭 접근을 차단하기 위해 blockPublicPolicy 기능을 제공합니다.
IAM 정책에서 다음처럼 설정하면, 실수로 퍼블릭 액세스를 허용하는 정책을 방지할 수 있습니다.
🌐 VPC Endpoint + SourceVPC로 내부 접근만 허용
프라이빗 서브넷에서 Secrets Manager를 사용하고 있다면, VPC 엔드포인트 기반의 접근 제한이 가능합니다.
- aws:SourceVpc: 특정 VPC에서 오는 요청만 허용
- aws:SourceVpce: VPC Endpoint에서만 허용
이 조건들을 IAM 정책이나 리소스 정책에 추가하면, 퍼블릭 인터넷을 거치지 않고 내부 트래픽만 허용할 수 있습니다.
주의 -> 이런 조건은 내부 서비스 외의 AWS 서비스가 Secret을 사용해야 하는 경우, 의도치 않게 접근이 차단될 수 있습니다.
🔄 보안 암호의 다중 리전 복제
Secrets Manager는 하나의 리전에서 생성된 보안 암호를 다른 리전으로 자동 복제할 수 있습니다.
- 재해 복구(Disaster Recovery) 목적의 고가용성 확보
- 복제된 Secret은 KMS 키만 다르고 기본 Secret과 동일한 값과 메타데이터 유지
- 복제본 Secret은 기본 Secret에서 변경된 내용을 자동 동기화
- 복제본을 수동으로 수정하면 독립 실행형(standalone) Secret으로 전환됨
복제가 실패하는 대표적인 원인
- 대상 리전에 같은 이름의 Secret이 이미 존재함
- 대상 리전의 KMS 키에 kms:Decrypt, kms:GenerateDataKey 권한 없음
- KMS 키가 삭제되었거나 비활성화 상태
- 복제할 리전이 비활성 상태
⛔ 보안 암호 삭제 보호 및 복구
Secrets Manager는 Secret 삭제 시 바로 삭제되지 않고 7일~30일 사이의 복구 대기 시간을 제공합니다.
- 이 기간 동안 삭제를 취소하여 복구 가능
- 삭제된 Secret에 접근 시 CloudWatch 경보 또는 CloudTrail 로그로 감지 가능
- 비밀번호가 사용 중인지 확실하지 않을 경우 이 기능으로 안전하게 삭제 테스트 가능
📋 AWS Config, CloudTrail, CloudWatch 연동
보안 암호 사용 이력과 변경사항은 다양한 AWS 보안 서비스와 연동해 모니터링할 수 있습니다
- CloudTrail: 보안 암호 생성, 수정, 삭제 로그 기록
- CloudWatch: 삭제 접근 시 알람 설정
- AWS Config: 보안 암호가 규정된 정책에 따라 교체되고 있는지 평가 가능
예: "Secrets must be rotated every 30 days" 와 같은 규칙을 Config로 정의 가능하며, 미준수 리소스를 탐지하고 알림 설정 가능
🧭 보안 정책 검증 - Zelkova 기반 자동 분석
Secrets Manager는 Zelkova라는 자동화 추론 엔진을 통해 리소스 정책의 잠재적 오용을 사전에 분석합니다. 즉, 퍼블릭 액세스가 가능하거나 권한이 과도하게 부여된 리소스를 탐지하여 경고합니다. CodeGuru Reviewer와 연계하면 하드코딩된 인증 정보도 같이 분석할 수 있습니다.
📌 다음 3부 예고
3부에서는 실습 중심으로 다음 항목을 CLI와 콘솔 방식으로 정리합니다:
- Secret 생성 및 업데이트 방법
- 자동 교체(Rotation) 설정
- 리전 복제 CLI/콘솔 예시
- IAM 정책, 리소스 정책 구성 예시
- CLI 명령어 및 실전 코드 조각
'cloud' 카테고리의 다른 글
| AWS Secrets Manager – 3부: 콘솔 및 CLI 실습 가이드 (0) | 2025.06.26 |
|---|---|
| AWS Secrets Manager – 1부: 기본 개념과 주요 기능 (2) | 2025.06.25 |
| 🔐 AWS Client VPN 을 이용한 온프레미스 연결 (0) | 2025.06.23 |
| 🔐 AWS Transit Gateway를 활용한 Site-to-Site VPN 연결 개요 (0) | 2025.06.16 |
| 🔐 클라우드 보안의 첫걸음: AWS Site-to-Site VPN 쉽게 이해하기 (3) | 2025.06.15 |
