VPC 환경에서 이용 가능합니다 .
Secret Manager에서 시크릿을 생성하고 관리하기 위해서는 별도의 콘솔 접근 권한 설정이 필요합니다. 사용 권한에 관한 내용은 Secret Manager 권한 관리와 Sub Account 사용 가이드를 참조해주시기 바랍니다.
Secret Manager 화면
Secret Manager 이용을 위한 기본적인 설명은 다음과 같습니다.
| 영역 | 설명 |
|---|---|
| ① 메뉴 이름 | 서비스 이름과 전체 시크릿 개수 |
| ② 기본 기능 | 시크릿 생성, 서비스 상세 안내, 화면 새로고침 |
| ③ 시크릿 목록 | 시크릿 타입 및 시크릿 목록 확인 |
| ④ 세부 기능 | 기본 정보와 Secret 값, 로그 확인 |
| ⑤ 시크릿 상세 정보 및 기능 | 시크릿 정보 및 상태 변경/삭제 요청, 보호키 변경 |
| ⑥ 교체 정보 | 시크릿 교체 실행 및 설정 정보 확인 |
시크릿 생성
시크릿 생성 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 VPC 환경에서
> Services > Security > Secret Manager > Secret 메뉴를 차례대로 클릭해 주십시오. - (1) 시크릿 기본 정보 입력 단계에서 시크릿의 이름과 보호 키를 선택합니다.
- (2) 교체 설정 단계에서 자동 교체 수행 여부와 교체 주기, 그리고 트리거를 선택합니다. 교체 주기와 트리거는 자동 교체를 활성화하는 경우에만 필수로 입력합니다. 만약, 트리거가 없다면 Cloud Functions 트리거를 생성합니다. 트리거 생성에 대한 자세한 내용은 Cloud Functions - Secret Manager 타입 트리거 항목을 참고해 주시기 바랍니다.
- Secret 값 입력 단계에서 시크릿을 구성합니다. 시크릿은 Key-Value 속성을 가지며, JSON 포맷으로 구성됩니다. (Secret 값의 최대 크기는 10,000 Bytes입니다.) 반드시 하나 이상의 교체 대상이 설정되어야 합니다. 교체 대상에 대한 자세한 내용은 시크릿 교체 항목을 참고하시기 바랍니다.
- 최종 확인 후, 생성을 완료합니다.
서비스에서 제공하는 기능의 특성상 데이터베이스의 접속정보를 저장하고 애플리케이션 로딩 시 조회하는 사용 사례가 가장 일반적입니다. 미리 구성한 데이터베이스의 인증 정보를 시크릿 값으로 작성합니다. 시크릿이 적용되는 타켓이 Naver Cloud Platform Cloud DB 라면 아래 시크릿 구성 예시를 참고하시기 바랍니다. 이 시크릿 교체 활용 예시는 Secret 교체 액션을 참고해주시기 바랍니다.
| DBMS | 필요 속성 |
|---|---|
| MySQL | Host, Port, Username, Password |
| MSSQL | Host, Port, Username, Password |
| PostgreSQL | Host, Port, Username, Database, Password |
# Json 포맷 예시
{
"cdbUser" : "test",
"cdbPassword" : "test123",
"cdbHost" : "db-c89**-**.cdb.ntruss.com",
"cdbPort" : "3306",
"cdbDatabase" : "test_db"
}
시크릿 정보 확인
시크릿 목록과 시크릿 타입을 확인합니다.
- 네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 > Services > Security > Secret Manager > Secret 메뉴를 차례대로 클릭해 주십시오.
- 시크릿 목록이 나타나면 시크릿 타입과 이름을 확인하거나 시크릿을 클릭하여 상세 정보를 확인해 주십시오.
- 시크릿 이름: 시크릿의 이름이며, 중복되지 않음
- 상태: 시크릿의 상태. 자세한 내용은 시크릿 상태 관리 참조
- Secret ID: 시크릿 고유 식별자. API 호출에 시크릿 지정자로 사용됨
- 보호 키(키 Tag): 시크릿을 보호하는 암호화 키로 Key Management Service을 통해 암복호화 용도로 관리됨
- 기본 키(Secret Manager Default Key): Secret Manager가 사용자별로 직접 관리하는 키. 이 역시 Key Management Service를 이용하여 관리하지만 사용자가 직접 확인하거나 관리할 수는 없음
- 사용자 관리 키(User Managed Key): 사용자가 Key Management Service에서 직접 생성하고 관리하는 키. Key Management Service 개념의 사용자 관리 키 항목 참조
- 생성일: 시크릿 생성일
- 설명: 시크릿에 대한 추가 정보 및 설명
시크릿 값
시크릿은 실제 자격증명에 이용되는 보안암호를 포함합니다. 이를 시크릿 값으로 구분하고 있으며, 의도되지 않은 보안암호의 노출을 최소화 하기 위해 시크릿 값은 기본적으로 노출되지 않습니다. 시크릿 값을 확인하고 수정하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 > Services > Security > Secret Manager > Secret 메뉴를 차례대로 클릭해 주십시오.
- 시크릿 목록이 나타나면 원하는 시크릿을 클릭하여 상세 정보를 확인해 주십시오.
- Secret 값 탭을 클릭해 주십시오.
- 시크릿 값은 기본적으로 표시되지 않습니다. 시크릿 값을 확인하기 위해 Secret 값 보기를 클릭해 주십시오.
- 시크릿 값을 수정한 경우에는 저장을 클릭하여 수정 사항을 반영합니다.
Secret Manager에서의 시크릿 값 수정은 실제 적용되어있는 보안암호의 변경은 보장하지 않습니다. 예를 들어, MySQL 데이터베이스 리소스에서 사용되는 DB 아이디/패스워드를 Secret Manager에서 시크릿으로 관리하고 있는 경우, Secret Manager의 시크릿 값 수정은 실제 데이터베이스의 패스워드까지 변경하지 않습니다.
시크릿 체인
Secret Manager는 시크릿을 사용하면서 교체되는 시크릿 값을 교체 이력에 따라 스테이지(Stage) 라는 내부 상태로 관리합니다. 교체되는 시크릿 값은 교체 스테이지가 진행됨에 따라 시간 순서대로 유지되며 이를 시크릿 체인 으로 정의합니다.
현재 정상적으로 사용중인 시크릿 값인 ACTIVE 스테이지를 기준으로 바로 직전에 사용했던 시크릿 값은 PREVIOUS 스테이지로, 그 전에 사용했던 시크릿 값은 SUSPENDED 스테이지로 유지됩니다. 또한, 교체가 새로 시작되어 신규로 생성된 시크릿 값은 교체가 완료 되기 전까지 PENDING 스테이지로 추가됩니다. 이 과정을 체인 시프팅(Chain Shifting) 이라고 정의합니다.
위의 시크릿 체인 전이도에서 확인할 수 있는 바와 같이, 시크릿 교체가 정상적으로 완료되면 PENDING 스테이지는 빈 값으로 유지됩니다. 일반적인 경우라면 ACTIVE 스테이지만 활용되나, 교체 액션의 실행 상황에 따라 PENDING 또는 PREVIOUS 스테이지를 적용해야 할 수도 있습니다. 만약, 시크릿 교체 진행 중인 상태에서 시크릿 조회를 호출하여 PENDING이 포함된 시크릿 체인이 응답되었다면, ACTIVE -> PENDING 순서로 재시도를 진행하여 트러블슈팅 할 수 있습니다.
이용 로그 확인
모든 시크릿 접근 액션은 Cloud Log Analytics에 로그로 저장됩니다. 시크릿 사용 이력을 확인하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 > Services > Security > Secret Manager > Secret 메뉴를 차례대로 클릭해 주십시오.
- 시크릿 목록이 나타나면 원하는 시크릿을 클릭하여 상세 정보를 확인해 주십시오.
- 로그 확인 탭을 클릭해 주십시오.
- 로그 검색을 위해서는 검색 기간 또는 키워드를 입력하여 검색해 주십시오.
시크릿 상태 관리
시크릿 상태
Secret Manager에서는 시크릿의 생성부터 삭제까지를 일련의 상태로 관리합니다. 이른바 시크릿 생명주기로 정의된 시크릿 상태의 흐름은 다음과 같습니다.
시크릿은 생명 주기에 따라 최초 생성, 이용 가능, 일시 중지, 교체 진행 중, 삭제 예정, 최종 삭제의 상태로 구분됩니다. 시크릿의 각 상태별 설명은 다음과 같습니다.
-
생성
시크릿이 생성되면 고유 식별자가 부여되고, 시크릿 값이 지정된 보호 키로 암호화 되어 암호화 스토리지에 저장됩니다. 생성 단계가 마무리 되면 자동으로 이용 가능 상태로 전환됩니다. -
이용 가능
시크릿이 정상적으로 유지되는 상태이며 조회나 교체가 가능합니다. 일시 중지나 삭제 요청을 할 수 있습니다. -
일시 중지
일시적으로 이용이 중지된 상태입니다. 보호 키 변경 및 시크릿 값 조회/수정이 중지됩니다. 또한, 시크릿 값 조회와 수정이 필요한 자동 교체 역시 실행될 수 없습니다. -
삭제 요청
시크릿 삭제를 위해 삭제 요청이 된 상태로, 7일간의 유예기간을 거친 후 최종 삭제됩니다. 만약 유예 기간없이 즉시 삭제하고자 하는 경우 즉시 삭제 버튼을 클릭하여 즉시 최종 삭제할 수 있습니다. 삭제 요청 상태의 시크릿은 일시 중지 상태와 마찬가지로 보호 키 변경 및 시크릿 값 조회/수정, 자동 교체가 불가능합니다. 최종 삭제 이전까지 삭제 요청을 취소할 수 있으며, 삭제 요청이 취소된 시크릿은 일시 중지 상태로 전환됩니다. -
최종 삭제
영구적으로 삭제된 스크릿으로, Secret Manager에서는 논리적인 상태로만 정의된 상태입니다. 삭제 시점에 시크릿 값을 포함하여 모든 연관 정보가 삭제되며, 복구가 불가능합니다.
시크릿 삭제 시 시크릿 교체를 위해 사용자가 직접 생성한 Cloud Functions 액션은 삭제되지 않습니다.
시크릿 상태 변경
시크릿 상태를 변경하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 > Services > Security > Secret Manager > Secret 메뉴를 차례대로 클릭해 주십시오.
- 시크릿 목록이 나타나면 원하는 시크릿을 클릭하여 상세 정보를 확인해 주십시오.
- 이용 가능 시크릿 상태를 변경하기 위해서는 이용 중지를 클릭해 주십시오.
- 일시 중지 시크릿 상태를 변경하기 위해서는 이용 재개를 클릭해 주십시오.
보호 키 변경
시크릿 값은 설정된 보호 키로 암호화되어 보호됩니다. 모든 보호 키는 Key Management Service에서 관리됩니다. 시크릿 보호 키를 변경하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 > Services > Security > Secret Manager > Secret 메뉴를 차례대로 클릭해 주십시오.
- 시크릿 목록이 나타나면 원하는 시크릿을 클릭하여 상세 정보를 확인해 주십시오.
- 보호키 항목의 Edit 버튼을 클릭해 주십시오.
- 설정 가능한 키 목록이 표시되면 변경하고자 하는 키를 선택하고 수정을 클릭해 주십시오.
- 사용자 관리 키를 선택하는 경우에는 키 암복호화 이용 권한을 Secret Manager에 위임해 주십시오.
- 만약 키의 생성이 필요한 경우 Key Management Service 키 생성 버튼을 클릭하여 Key Management Service 콘솔을 이용하여 키를 생성해 주십시오.
- Key Management Service(KMS)의 리전 격리 키 기능이 새롭게 업데이트되면서, Secret Manager에서도 리전 격리 키를 연동할 수 있습니다.
- 업데이트 이전에 전역 키로 연동된 시크릿은 그대로 사용할 수 있으나, 신규 시크릿 연동 시 전역 키는 더 이상 선택할 수 없습니다.
- 자세한 내용은 Key Management Service 개요를 참고해 주시기 바랍니다.
시크릿 교체
시크릿을 안전하게 사용하기 위해서는 주기적 갱신이 필요합니다. Secret Manager는 사용자의 시크릿을 임의로 변경할 수 없기 때문에 시크릿의 교체는 사용자가 정의한 액션으로 처리됩니다. 시크릿 교체가 실행되면, 기본적으로 교체 대상으로 지정된 시크릿 속성값을 갱신합니다. 물론 다른 값들도 임의로 변경할 수 있지만 원활한 동작을 위해 권장되지 않습니다. 교체 대상은 일반적으로 갱신이 필요한 기밀값(ex. 패스워드)만 최소한으로 지정하는 것이 좋습니다. 또한, 교체 액션을 실행시키기 위해서는 Cloud Functions 트리거가 등록되어 있어야 합니다. 시크릿 교체 트리거 생성에 대한 자세한 내용은 Cloud Functions - Secret Manager 타입 트리거 항목을 참고해 주시기 바랍니다.
시크릿 교체 프로세스와 액션 정의에 대한 자세한 내용은 Secret 교체 페이지를 참고해 주시기 바랍니다.
시크릿 교체 설정
시크릿 교체를 설정하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 > Services > Security > Secret Manager > Secret 메뉴를 차례대로 클릭해 주십시오.
- 시크릿 목록이 나타나면 원하는 시크릿을 클릭하여 상세 정보를 확인해 주십시오.
- 교체 정보 섹션에서 자동 교체 항목의 버튼을 활성화 하여 교체 액션을 주기적으로 실행시킬 수 있습니다. (자동 교체를 활성화 시키려면 트리거가 등록되어 있어야 합니다)
- 자동 교체가 활성화 되면 자동 교체 주기가 기본값인 90일로 설정됩니다. 자동 교체 주기 항목의 Edit 버튼을 클릭하여 교체 주기를 변경할 수 있습니다.
- 트리거 항목의 Edit 버튼을 클릭하여 매핑된 트리거를 변경할 수 있습니다. 단, 교체가 진행중인 경우에는 트리거 매핑 변경이 불가능합니다.
- 진행단계 항목에서는 직전의 교체 실행 정보가 표시됩니다.
시크릿 교체 실행
자동 교체가 활성화된 시크릿의 교체는 자동으로 실행되지만, 수동으로 즉시 실행시킬 수도 있습니다.
수동 교체 실행은 자동 교체 주기의 다음 일정에 영향을 주지 않습니다.
시크릿 교체를 실행하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 > Services > Security > Secret Manager > Secret 메뉴를 차례대로 클릭해 주십시오.
- 시크릿 목록이 나타나면 원하는 시크릿을 클릭하여 상세 정보를 확인해 주십시오.
- 교체 정보 섹션에서 교체 실행 버튼을 클릭하면 트리거가 실행됩니다.
시크릿 교체 재시도, 취소 및 롤백
교체 실행의 완료 여부는 시크릿 교체 프로세스 전략에 의존하여 판단됩니다. 시크릿 교체 프로세스의 마지막 종료 단계인 Complete Rotation을 수신받지 못하면, 교체 액션은 실패로 간주됩니다.
시크릿 교체 상태와 상태에 따른 기능은 다음과 같습니다.
- 정상: 정상 상태에서는 다음 교체를 실행할 수 있습니다. 교체가 완료되면 기존의 시크릿은 새로운 값으로 갱신되며, 기존의 ACTIVE 스테이지는 PREVIOUS가 됩니다. 롤백을 통해 직전에 사용되던 시크릿인 PREVIOUS를 다시 ACTIVE로 되돌릴 수 있습니다.
- 교체 진행중: 교체 이벤트가 발생하여 트리거가 실행된 후, 아직 완료 여부를 통보받지 못한 상태입니다.
- 교체 실패: 교체 작업이 정상적으로 완료되지 않으면 교체 실패 상태가 되며, 이 경우 재시도 또는 작업 취소를 수행할 수 있습니다.
롤백은 Secret Manager의 시크릿 체인만 변경하며, Secret Manager에서 관리하는 시크릿의 값과 이를 사용하는 서비스에 실제 적용된 시크릿은 서로 다를 수 있습니다. 마찬가지로, 작업 취소는 Secret Manager의 시크릿 교체 작업 추적을 즉시 중단하는 것으로써 실제 액션의 실행 여부나 시크릿 교체 결과를 더이상 확인하지 않습니다. 따라서, 시크릿의 값과 실제 적용된 시크릿은 서로 다를 수 있습니다. 원활한 동작을 위해 롤백과 작업 취소는 반드시 필요한 상황에서만 실행하시기 바랍니다.
시크릿 삭제
시크릿을 영구적으로 삭제하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 VPC 환경에서 > Services > Security > Secret Manager > Secret 메뉴를 차례대로 클릭해 주십시오.
- 시크릿 목록이 나타나면 원하는 시크릿을 클릭하여 상세 정보를 확인해 주십시오.
- 시크릿 삭제를 요청하기 위해 삭제 요청 버튼을 클릭해 주십시오.
- 시크릿 이름을 입력하여 시크릿 삭제를 확인해 주십시오.
- 삭제 요청된 시크릿은 7일 이후 최종 삭제됩니다. 만약 즉시 삭제를 원하는 경우에는 지금 삭제 버튼을 클릭하여 삭제 유예 없이 즉시 삭제할 수 있습니다.
삭제된 시크릿은 복구가 불가능하니 신중히 삭제해주시기 바랍니다.