기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 보안 암호 및 리소스 정책 관리
[타사 스피치 공급자를 구성할](configure-third-party-speech-providers.md) 때 Secrets Manager에서 스피치 공급자의 API 키가 포함된 암호를 생성해야 합니다. 보안 암호 생성은 두 단계 프로세스로 이루어집니다.
+ API 키가 포함된 보안 암호를 생성합니다. 지침은 [AWS Secrets Manager 보안 암호 생성을 참조하세요](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html).
+ 필요한 권한을 구성합니다.
+ 보안 암호에 리소스 기반 정책을 연결합니다.
+ 보안 암호와 연결된 KMS 키(API 키 아님)에 리소스 기반 정책을 연결합니다. KMS 키는 보안 암호의 API 키를 보호합니다.
이러한 정책을 통해 Amazon Connect는 보안 암호 내의 API 키에 액세스할 수 있습니다. 기본 `aws/secretsmanager` KMS 키는 사용할 수 없습니다. 새 키를 생성하거나 기존 고객 관리형 키를 사용해야 합니다. KMS 키가 보안 암호를 보호하는 방법에 대한 자세한 내용은 [Secrets Manager의 보안 암호 암호화 및 암호 해독을 참조하세요](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html).
보안 암호에 대한 리소스 기반 정책에 `aws:SourceAccount` 및 `aws:SourceArn` 혼동된 대리자 조건([혼동된 대리자 문제 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html))이 포함되어 있고 KMS 키에 대한 리소스 기반 정책에 `kms:EncryptionContext:SecretARN` 조건이 포함되어 있는지 확인합니다. 이렇게 하면 Amazon Connect가 단일 특정 인스턴스의 컨텍스트에서만 API 키 보안 암호에 액세스할 수 있고 해당 인스턴스와 특정 보안 암호의 컨텍스트에서만 KMS 키에 액세스할 수 있습니다.
## Secrets Manager 보안 암호에 대한 리소스 기반 정책의 예
다음은 보안 암호에 연결할 수 있는 리소스 기반 정책의 예입니다.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"connect.amazonaws.com"
]
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:sourceArn": "///the ARN of your Amazon Connect instance///"
},
"StringEquals": {
"aws:sourceAccount": "///Your account ID///"
}
}
}
]
}
```
## 에 대한 리소스 기반 정책의 AWS KMS key예
다음은 KMS 키에 연결할 수 있는 리소스 기반 정책의 예입니다.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"connect.amazonaws.com"
]
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:sourceArn": "///the ARN of your Amazon Connect instance///"
},
"StringEquals": {
"aws:sourceAccount": "///Your account ID///",
"kms:EncryptionContext:SecretARN": "///the ARN of your secrets manager secret///"
}
}
}
]
}
```
## Secrets Manager 보안 암호에 리소스 기반 정책 연결
리소스 기반 정책을 보안 암호에 연결하려면 내의 Secrets Manager 콘솔로 이동하여 보안 암호로 AWS Management Console이동하여 권한 또는 리소스 권한 **편집**을 선택한 다음 예제와 비슷하도록 페이지에서 직접 리소스 정책을 추가하거나 수정합니다[Secrets Manager 보안 암호에 대한 리소스 기반 정책의 예](#example-resource-policy-secrets-manager). **** AWS CLI의 `put-resource-policy` 명령을 통해 또는 [PutResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html) API 작업을 사용하여 프로그래밍 방식으로 리소스 정책을 연결할 수도 있습니다.
## KMS 키에 리소스 기반 정책 연결
리소스 기반 정책을 KMS 키에 연결하려면 내의 AWS Key Management Service 콘솔로 이동하여 KMS 키로 AWS Management Console이동하고 키 정책을 [예제](#example-resource-policy-kms-keys)처럼 편집합니다. AWS CLI의 `put-key-policy` 명령을 통해 또는 [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) API 작업을 사용하여 프로그래밍 방식으로 키를 업데이트할 수도 있습니다.
## API 키 교체
손상 위험을 최소화하고 긴급 상황에서 잘 작동하는 키 교체 프로세스를 유지하려면 최소 90일마다 API 키를 교체하는 것이 좋습니다.
API 키를 교체하려면 키가 포함된 보안 암호를 교체해야 합니다. 보안 [암호 교체 방법에 대한 자세한 내용은 Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) *사용 설명서의 Secrets Manager* 보안 암호 교체를 참조하세요. API 키를 교체할 때는 이전 키의 사용량이 0으로 떨어질 때까지 기다렸다가 이전 API 키를 취소하여 진행 중인 요청이 영향을 받지 않도록 하는 것이 좋습니다.