시크릿은 저장 시 암호화되어 보관되고, 전송 시 TLS를 사용합니다.
Key/Token/Password버전관리·자동 회전IAM 연동
Secrets Manager
API 키, DB 비밀번호, OAuth 토큰 등 애플리케이션 시크릿을 안전하게 저장·배포합니다. 암호화 저장, 버전/회전, 세분화된 IAM, 감사 로그를 제공합니다. 요금은 별도문의로 안내합니다.
시크릿 버전을 관리하고, 이전 버전으로 안전하게 롤백합니다.
IAM 역할/정책으로 읽기/쓰기/회전 권한을 세분화합니다.
접근/변경 이력을 기록하고, 이상 접근에 대해 알림을 제공합니다.
보안/암호화
| 영역 | 설명 |
|---|---|
| 암호화 저장 | 저장 데이터는 강력한 암호화로 보호되며, 키 관리는 KMS(옵션) 또는 동급 방식으로 수행됩니다. |
| 전송 보호 | TLS를 사용하여 네트워크 구간에서 시크릿을 보호합니다. |
| 마스킹/부분 노출 | UI/API에서 전체값 노출을 제한하고 필요 시 일부만 표시합니다. |
| 정책 | 시크릿 길이/문자군 규칙, 만료/회전 주기, 접근 레이트 제한 구성. |
버전/자동 회전
버전 보관 — 시크릿 변경 시 새 버전 생성, 보관 기간/개수 정책.
자동 회전 — 크론/웹훅/서버리스 함수 연동으로 주기적 갱신.
그레이스 기간 — 구/신 버전 공존 기간 설정, 점진 전환.
롤백 — 장애 시 직전 안정 버전으로 즉시 복귀.
IAM / 감사 로그
역할(ROLE)과 정책(POLICY)으로 시크릿 접근을 제어합니다. 모든 접근/변경은 감사 로그에 기록됩니다.
정책 예시(JSON)
{
"Version": "2025-09-01",
"Statement": [
{"Effect": "Allow", "Action": ["secrets:Get"], "Resource": ["secret:prod/db/*"], "Condition": {"IpAddress": {"aws:SourceIp": ["203.0.113.0/24"]}}},
{"Effect": "Deny", "Action": ["secrets:Get"], "Resource": ["secret:prod/*"], "Condition": {"Bool": {"secrets:FromRotation": false}}}
]
}
감사 로그 예시(JSON)
{"ts":"2025-09-01T12:00:01Z","actor":"role/web","action":"Get","secret":"secret:prod/db/password","version":"v42","src":"198.51.100.23","result":"OK"}
예시 #1 — API로 시크릿 조회
# Access Token 은 IAM 로그인/역할로 발급 export TOKEN="$(command-to-get-token)" curl -sS \ -H "Authorization: Bearer $TOKEN" \ -H "Accept: application/json" \ "https://api.example.com/secrets/v1/get?name=secret:prod/db/password&version=latest" | jq -r .value
예시 #2 — 컨테이너 환경변수 주입(Init 스크립트)
#!/usr/bin/env bash set -euo pipefail SECRET_NAME="secret:prod/app/api_key" API="https://api.example.com/secrets/v1/get" export APP_API_KEY=$(curl -sS -H "Authorization: Bearer $TOKEN" "$API?name=$SECRET_NAME&version=latest" | jq -r .value) exec /usr/local/bin/start-app
예시 #3 — 애플리케이션(yaml) 템플릿
app:
database:
host: db.internal
user: app
password: ${secret:prod/db/password}
oauth:
token: ${secret:prod/oauth/token}
예시 #4 — 자동 회전 훅(웹훅)
POST /rotation/db-password HTTP/1.1
Content-Type: application/json
{"name":"secret:prod/db/password","newVersion":"v43","graceUntil":"2025-09-10T00:00:00Z"}
운영/가용성
백업/복구 — 주기 백업, 지정 시점 복구(협의).
멀티 AZ(옵션) — 장애 도메인 분리, 읽기 지연 최소화.
소프트 삭제 — 삭제 보류 기간 내 복원 가능.
레이트 제한 — 비정상 요청 방지, 알림 연동.
디도스보호(프록시) — API 엔드포인트 보호(옵션).
SLA — 보관/가용성 수준은 계약에 따릅니다.
요금 안내
요금: 별도문의
시크릿 개수/버전 보관량, API 호출량, 자동 회전 주기, 멀티 AZ 옵션 등에 따라 산정됩니다.
시크릿, 안전하게 관리하고 자동으로 회전하세요
애플리케이션 이름/환경(Prod/Stage)만 알려주시면 바로 구성 제안드립니다.
Secrets Manager 상담
ℹ️
개인정보 처리 안내
문의 응대를 위해서만 사용되며 일정 기간 후 파기됩니다.