반응형
중앙 집중식 비밀 저장소
: 테라폼 민강정보 위험을 최소화
- 중앙 집중식 비밀 저장소에 민감정보(ID/PW)를 저장
- 사용자는 필요할 때마다 민감정보를 조회
- --> 리소스에 접근
- ID/PW 조회
data "aws_secretsmanager_secret_version" "creds" {
secret_id = "t-study"
}
- data block 참조 --> RDS 생성
resource "aws_db_instance" "myrds" {
identifier_prefix = "t-sensitiveData"
engine = "mysql"
allocated_storage = 10
instance_class = "db.t2.micro"
skip_final_snapshot = true
db_name = "with_aws_secret_manager_demo"
username = local.db_creds.username
password = local.db_creds.password
}
==> aws secret manager에서 t-study 가 생성되었는지 확인
==> secret key, value값 확인
==> master username은 secret manager에 설정되어있는 username으로 설정됨
단점
- 도구 학습곡선(학습을 해야함)
- 도구 비용
- 관리 포인트 증가(테라폼 + 도구(AWS Secret Mananger)
- 테라폼 코드 동기화 어려움(aws secret manager rotation) --> 저장된 민감정보를 변경하는 기능 --> 테라폼 코드와 불일치하는 경우 생김
반응형
'Public Cloud > Terraform' 카테고리의 다른 글
| .gitlab-ci.yml (0) | 2023.02.01 |
|---|---|
| Terraform이란 (0) | 2023.01.13 |
| Terraform - 민감정보 보안 / Provider Block / OIDC (0) | 2023.01.13 |
| Terraform - for expression (0) | 2023.01.13 |
| Terraform - for_each 반복문 (0) | 2023.01.13 |