Search

중앙 집중식 및 분산형 비밀 관리 방식 알아보기

URL
생성 일시
2026/03/18 03:06
최종 편집 일시
2026/03/18 03:06
태그
AWS
파일과 미디어
이 글은 AWS Security 블로그에게시된 글 (Exploring common centralized and decentralized approaches to secrets management)을 한국어로 번역 및 편집하였습니다. Amazon Web Services (AWS)의 비밀 관리 전략에 관한 흔한 질문 중 하나는 조직이 비밀을 중앙 집중화해야 하는지입니다. 이 질문은 비밀을 중앙에 저장해야 하는지에 초점을 맞추는 경우가 많지만, 비밀 관리 프로세스를 중앙 집중화할 때 네 가지 측면인 […] || 이 글은 AWS Security 블로그에게시된 글 (Exploring common centralized and decentralized approaches to secrets management)을 한국어로 번역 및 편집하였습니다. Amazon Web Services (AWS)의 비밀 관리 전략에 관한 흔한 질문 중 하나는 조직이 비밀을 중앙 집중화해야 하는지입니다. 이 질문은 비밀을 중앙에 저장해야 하는지에 초점을 맞추는 경우가 많지만, 비밀 관리 프로세스를 중앙 집중화할 때 네 가지 측면인 생성, 저장, 교체 그리고 모니터링을 고려해야 합니다. 이 글에서는 비밀 관리의 각 측면을 중앙 집중화하거나 분산화할 때의 장단점에 대해 논의합니다. 비밀의 중앙 집중식 생성 비밀 생성을 중앙화할지 결정할 때는 클라우드에서 인프라를 배포하는 기존 방식을 고려해야 합니다. 현대적인 DevOps 관행은 일부 조직에서 인프라 배포를 위한 골든 패스(golden path)를 사용하는 개발자 포털 및 내부 개발자 플랫폼을 구축하도록 이끌었습니다. 골든 패스를 사용하는 도구를 통해 개발자는 조직 표준을 준수하면서 IaC(Infrastructure as Code)를 통해 셀프서비스 모델로 인프라를 배포할 수 있습니다. 플랫폼 엔지니어링 팀과 같은 중앙 조직이 이러한 골든 패스를 유지 관리합니다. 골든 패스를 유지하고 정의하는 데 사용할 수 있는 서비스의 예로는 AWS Service Catalog와 같은 AWS 서비스나 Backstage.io와 같은 인기 있는 오픈 소스 프로젝트가 있습니다. 이러한 접근 방식을 사용하면 개발자는 애플리케이션 코드에 집중할 수 있고, 플랫폼 엔지니어는 인프라 배포, 보안 제어 그리고 개발자 도구에 집중할 수 있습니다. 골든 패스의 예로는 데이터베이스에 쓰기 작업을 수행하는 마이크로서비스를 위한 템플릿화된 구현을 들 수 있습니다. 예를 들어, 골든 패스는 서비스나 애플리케이션이 AWS Cloud Development Kit (AWS CDK)를 사용하여 구축되고, Amazon Elastic Container Service (Amazon ECS)에서 실행되며, AWS Secrets Manager를 사용하여 데이터베이스 자격 증명을 검색하도록 정의할 수 있습니다. 플랫폼 팀은 비밀의 리소스 정책이 마이크로서비스에서 사용하는 역할에만 액세스를 허용하고 고객 관리형 키로 암호화되도록 보장하는 검사를 구축할 수도 있습니다. 이 패턴은 개발자로부터 배포 과정을 추상화하고 계정 간 리소스 배포를 용이하게 합니다. 이것은 그림 1에 표시된 중앙 집중식 생성 패턴의 한 예입니다. 그림 1: 중앙 집중식 생성을 위한 개발자 포털 배포 패턴 아키텍처 다이어그램 이 접근 방식의 장점은 다음과 같습니다. 일관된 명명, 태깅 및 액세스 제어: 비밀이 중앙에서 생성되면 계정, 워크로드, 서비스 또는 데이터 분류를 기반으로 표준 명명 규칙을 적용할 수 있습니다. 이를 통해 속성 기반 액세스 제어(ABAC)와 같은 확장 가능한 패턴을 구현하기가 간편해집니다. CI/CD 파이프라인의 최소 권한 검사: IaC 파이프라인 내에서 비밀을 생성할 때 AWS IAM Access Analyzer check-no-new-access API와 같은 API를 사용할 수 있습니다. 배포 파이프라인을 템플릿화할 수 있으므로 개별 팀은 배포 파이프라인을 소유하면서도 조직 표준을 활용할 수 있습니다. 플랫폼 엔지니어링 팀과 보안 팀 간 협업