[AWS] Secret Manager

#AWS

Secret Manager는 말 그대로 시크릿 값들을 관리하기 위해 제공되는 기반 서비스 중 하나다.
패스워드나 DB 접속정보 같은 보안에 민감한 값들을 다루기 위해 존재한다.

비용

고정 비용이 존재한다. Secret 하나당 월 정액 0.4달러 정도를 부과한다.
API 호출도 비용이 1만건당 0.05달러로 존재하긴 하는데, 이게 그렇게 빈번하게 호출되는 리소스는 아니니 크지는 않을 것이다.

그래서 가능하면 단일 secret에 이것저것 모아서 짱박아두는게 비용적으로는 유리하겠다.

https://aws.amazon.com/ko/secrets-manager/pricing/

이점

그럼 이게 다른 저장소나 관리방식과 비교해서 뭐가 더 좋은걸까?
사실 키/값을 적당히 구겨넣고 읽는건 어떤 다른 Store 서비스를 써도 달성할 수 있는 문제다.

**1. 접근 로그 **
다른 Store 서비스들은 데이터 접근에 대해서 하나하나 로그를 남기진 않는다. 그래서 뭔가 보안 문제가 발생했을때 문제를 추적하기가 어렵다.
하지만 Secret에 대한 접근은 항상 CloudTrail에 접근 로그가 남는다.

2. 런타임 로드 - 평문 저장 회피
컨테이너 환경 변수 등에 패스워드를 평문으로 저장하는 것은 상당히 위험천만한 행동이다. 매우 쉽고 자연스럽게 유출될 수 있기 때문이다.
Secret을 사용하면 Secret에 대한 간접 참조로 환경변수 설정을 갈음할 수 있다. (AWS ECS의 경우)

**3. 높은 암호화 수준 **
별거 아닌것처럼 보일 수도 있지만, Secret은 매우 강한 암호화 기법을 사용한다.
KMS라는 별도 암호화 시스템을 사용해서 데이터 키를 만들고, 그 키로 시크릿을 암호화해서 저장하는 것이다.
그래서 KMS와 Secret이 시스템적으로 격리되어있기 때문에 유출 위험이 비교적 적다.
KMS를 쓰기 때문에 내부적으로 봉투 암호화 기법을 사용한다.
참조: https://blog.naver.com/sssang97/224204769009

제한사항

각 secret에는 크기 제한이 존재한다.
제한은 시크릿당 64 KiB 정도다. 그래서 너무 큰 값은 넣지 않는 것이 좋다.

시크릿 만들어보기

페이지에 진입해서 시크릿 생성에 진입하면, 다음과 같은 화면이 뜰 것이다.

시크릿에는 여러가지 타입이 있는데, 일반적으로는 "기타" 타입이 사용사례에 적합할 것이다.

여기서는 키/값 쌍으로 여러개의 시크릿 정보를 동시에 집어넣을 수 있다.
이건 내부적으로 JSON 값으로 저장된다.

혹은 자유 텍스트로 입력할 수도 있다.
이러면 yaml이나 원하는 포맷을 따라서 저장할 수도 있는데, 대신 자동 key 추출 기능 같은건 못쓴다.

적당히 생성하면 이런 식으로 리소스가 생성된다.

보안상의 이유로 기본 페이지에는 그 값이 노출되지는 않는다.

저기서 "보안 암호 값 검색"을 누르면 값이 노출되고, 수정할 수도 있게 된다.

AWS ECS와 통합

시크릿 매니저는 일부 서비스들과의 강력한 통합을 지원한다. 특정 시크릿의 값을 자동으로 주입하거나 하는 것이 가능한데, 그 기능이 지원되는 대표적인 서비스가 ECS다.

ECS 작업정의의 컨테이너 스펙-환경변수에 값을 "ValueFrom"으로 설정해서 시크릿 정보를 넣으면, ECS가 태스크를 시작할때마다 자동으로 시크릿 값을 동적으로 주입해준다.

"시크릿매니저ARN:키이름::"의 형태로 넣으면 시크릿의 특정 key 값만 넣고, "시크릿매니저ARN"를 그냥 넣으면 해당 시크릿의 전체 값(JSON 값)이 들어간다.

근데 여기에는 한계가 있다.
시크릿을 추가하면, 그때마다 key 값을 하나하나 매핑해줘야 해서 매우 번거롭다는 것이다. 특정 시크릿의 모든 key를 자동으로 load한다거나 하는 기능이 없다.
AWS 팀에서도 이 기능을 고려하고는 있지만, 우선순위는 낮은거같다. 이슈도 5년째 방치되고 있다.

유일한 대안은 그냥 시크릿의 전체 JSON 값을 통째로 로드한 다음에 프로그램에서 파싱해서 쓰는 것이다.

기타 환경

ECS처럼 직접 통합 기능이 제공되는게 아니라면, 프로그램 단에서 AWS SDK를 사용해서 시크릿 값을 직접 가져오는 것이 일반적인 방법이 된다.

의외로 AWS는 시크릿의 기능 통합 수준이 저조하다.
AWS Lambda, Batch 같은 기능들도 ECS만큼의 통합을 지원하진 않는다.

참조
https://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data.html
https://stackoverflow.com/questions/57191835/aws-ecs-how-to-retrieve-specific-key-from-secret-manager
https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_limits.html
https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html?utm_source=openai