AWS용어 쉽게 이해하기: Secrets Manager

AWS KMS와 Secrets Manager의 주요 차이점은 무엇을 숨기는지입니다. KMS는 암호화 키를 숨기는 반면, Secrets Manager는 자격 증명(credentials)을 숨깁니다. Secrets Manager는 KMS의 암호화 기능을 활용하여 저장된 자격증명(비밀번호, API 키 등)의 보안을 보장합니다. Secrets Manager는 사용자의 자격증명 데이터를 안전하게 저장하고, 필요할 때 검색하거나 교체(Rotation)를 자동화하는 서비스로, 자격증명 데이터를 저장하거나 검색할 때 KMS에 암호화 또는 복호화를 요청합니다.
 
Secrets Manager가 일반적으로 관리하는 자격 증명 유형에는 데이터베이스의 사용자 이름 및 비밀번호 뿐만 아니라 API키, OAuth 토큰, AWS Access Key, SSH키, 라이선스 코드 등이 있으며, 이러한 기밀 자격 증명들을 해커가 가로챌 수 있는 일반 텍스트로 남기지 않도록 합니다.

 
Secrets Manager를 사용하여 데이터베이스 자격 증명, API 키 및 OAuth 토큰 같은 보안 암호를 저장, 교체 및 모니터링하고 이러한 보안 암호에 대한 액세스를 제어할 수 있습니다. Amazon RDS에서 MySQL, PostgreSQL 및 Amazon Aurora에 대한 기본 제공 통합 기능을 사용하여 보안 암호 교체를 활성화하세요. AWS Lambda 함수를 사용하여 기타 보안 암호에 대한 교체를 활성화할 수도 있습니다. 보안 암호를 검색하려면 애플리케이션에서 하드 코드된 보안 암호를 Secrets Manager API에 대한 호출로 대체하면 됩니다. 이렇게 하면 일반 텍스트 형식의 보안 암호가 노출되지 않습니다.