다양한 환경에서 API 키, 토큰, 자격 증명과 같은 민감한 데이터를 관리하는 것은 매우 까다로울 수 있으며, 특히 애플리케이션을 개발하고 배포할 때 더욱 그렇습니다. 버전 제어에 하드코딩하지 않고도 비밀을 안전하게 저장하고 필요할 때 가져오는 것이 보안을 유지하는 데 중요합니다.

그래서 저는 AWS SSM 및 CloudFormation의 비밀을 .env 파일로 직접 동적으로 가져오는 Bash 스크립트인 비밀 로더를 만들어 로컬 개발과 배포를 더 쉽고 안전하며 효율적으로 만들었습니다.

비밀 로더란 무엇입니까?

비밀 로더는 .env 파일의 사용자 지정 구문을 기반으로 AWS SSM Parameter Store 및 AWS CloudFormation 출력에서 ​​비밀을 자동으로 가져오도록 설계된 간단한 도구입니다. 버전 관리에서 민감한 정보를 노출하지 않고 자리 표시자를 실제 비밀로 대체합니다.

예를 들어 API 키나 자격 증명을 하드코딩하는 대신 다음과 같이 .env 파일에 정의합니다.

THIRD_PARTY_API_KEY="ssm:/third-party/api/key"
AWS_ACCESS_KEY_ID="cf:my-stack:AccessKeyId"

단일 명령을 통해 Secrets Loader는 AWS에서 실제 값을 가져오고 .env 파일을 업데이트하여 민감한 정보를 안전하고 쉽게 관리할 수 있도록 유지합니다.

내가 그것을 만든 이유

로컬 개발 및 배포 중에 프로젝트 파일에 하드코딩하고 싶지 않은 민감한 자격 증명을 다루게 되었습니다. AWS 서비스를 광범위하게 사용하면서 저는 큰 번거로움 없이 비밀 관리를 기존 개발 워크플로에 통합할 수 있는 방법을 원했습니다.

Secrets Loader가 해결하는 주요 과제는 다음과 같습니다.

1. 하드코딩된 비밀 방지: 더 이상 버전 관리에 비밀을 커밋하지 않습니다. 자리 표시자를 안전하게 사용하고 AWS SSM 및 CloudFormation에서 실제 값을 동적으로 가져올 수 있습니다.
2. 수동 작업 줄이기: 비밀 값을 수동으로 복사하여 붙여넣는 대신 .env 파일에서 한 번 정의하고 스크립트에서 가져오기를 수행하도록 하세요.
3. 비밀 관리 단순화: 로컬 개발, 준비, 프로덕션 중 어느 작업을 하든 Secrets Loader는 비밀이 안전하게 자동으로 로드되도록 보장합니다.

특징

Secrets Loader에는 로컬 개발 및 프로덕션 환경 모두에 편리한 도구로 만드는 몇 가지 주요 기능이 포함되어 있습니다.

• 자동 비밀 로딩: .env 파일에 경로를 지정하여 AWS SSM Parameter Store 및 CloudFormation에서 비밀을 가져옵니다.
• 보안 우선 접근 방식: 런타임에 민감한 데이터를 안전하게 로드하여 버전 제어에서 중요한 데이터를 보호합니다.
• 간단한 구문: .env 파일(ssm: SSM 매개변수의 경우, cf: CloudFormation 출력의 경우)에서 사용자 지정 구문을 사용하여 비밀의 출처를 지정합니다.
• 오류 처리: 한 번의 검색이 실패하더라도 스크립트는 다른 비밀을 계속 처리하여 워크플로를 중단하지 않고 경고를 기록합니다.

작동 방식

비밀 로더의 마법은 특정 접두사(ssm: 및 cf:)를 기반으로 AWS에서 비밀을 가져오는 기능에 있습니다. 다음은 워크플로 예시입니다.

1. .env 파일 설정:

SSM 매개변수의 ssm: 접두사 또는 CloudFormation 출력의 cf: 접두사를 사용하여 .env 파일에 비밀에 대한 자리 표시자를 추가합니다.

   THIRD_PARTY_API_KEY="ssm:/third-party/api/key"
   AWS_SECRET_ACCESS_KEY="cf:my-stack:SecretAccessKey"

1. 스크립트 실행:

다음 명령을 사용하여 스크립트를 실행하고 비밀을 가져옵니다.

   ./secrets.sh

1. 업데이트된 .env 파일:

스크립트를 실행하면 .env 파일이 AWS에서 가져온 실제 값으로 업데이트됩니다.

   THIRD_PARTY_API_KEY=actual-api-key-value
   AWS_SECRET_ACCESS_KEY=actual-access-key-value

더 이상 비밀을 하드코딩하거나 수동으로 조회할 필요가 없습니다!

설치 및 설정

시작할 준비가 되셨나요? 프로젝트에서 비밀 로더를 설정하는 방법은 다음과 같습니다.

1. 저장소 복제:

   git clone https://github.com/Thavarshan/secretst-loader.git
   cd secretst-loader

1. 스크립트를 실행 가능하게 만듭니다:

   chmod  x secrets.sh

1. AWS CLI가 설치 및 구성되어 있는지 확인하세요.:

AWS CLI가 설치되어 있지 않은 경우 AWS CLI 설치 안내서를 따르십시오. 설치 후 AWS 자격 증명을 구성합니다.

   aws configure

1. .env에서 비밀을 정의하세요.:

ssm: 및 cf: 접두사를 사용하여 비밀의 출처를 정의합니다.

   THIRD_PARTY_API_KEY="ssm:/third-party/api/key"
   AWS_ACCESS_KEY_ID="cf:my-stack:AccessKeyId"

사용 예

간단한 예를 살펴보겠습니다.

.env.example 파일:

# Application settings
APP_NAME=MyApp
APP_ENV=production

# Secrets fetched from AWS SSM and CloudFormation
THIRD_PARTY_API_KEY="ssm:/third-party/api/key"
AWS_SECRET_ACCESS_KEY="cf:my-stack:SecretAccessKey"

비밀 로더 실행:

./secrets.sh

업데이트된 .env 파일:

# Application settings
APP_NAME=MyApp
APP_ENV=production

# Fetched secrets
THIRD_PARTY_API_KEY=actual-api-key-value
AWS_SECRET_ACCESS_KEY=actual-secret-access-key

문제 해결

비밀 로더를 사용하는 동안 문제가 발생하는 경우 확인해야 할 몇 가지 사항은 다음과 같습니다.

1. AWS 권한: AWS CLI가 올바르게 구성되었는지, IAM 역할 또는 사용자에게 AWS SSM 및 CloudFormation 비밀에 액세스할 수 있는 충분한 권한이 있는지 확인하세요.

2. 구문 오류: .env 파일의 구문을 다시 확인하여 ssm: 및 cf: 접두사가 올바른지 확인하세요.

3. 스크립트 오류: 스크립트가 특정 비밀을 가져오는 데 실패하면 경고를 기록하지만 다른 비밀은 계속 가져옵니다. 로그에서 오류 메시지를 검토하고 AWS 리소스가 존재하며 액세스 가능한지 확인하세요.

비밀 로더 확장

스크립트는 확장 가능하도록 설계되었습니다. 다른 비밀 관리 시스템(예: Azure Key Vault 또는 HashiCorp Vault)을 통합하려는 경우 새 접두사 및 가져오기 논리를 지원하도록 스크립트를 쉽게 수정할 수 있습니다.

예를 들어 azkv: 접두사를 추가하여 Azure Key Vault에서 비밀을 가져오고 Azure CLI를 사용하여 검색을 처리할 수 있습니다.

기여

Secrets Loader는 오픈 소스이며 기여는 언제나 환영합니다! 기능을 추가하거나, 버그를 수정하거나, 개선 사항을 제안하려면 다음을 수행하세요.

• 문제 열기: 피드백이나 버그 보고서를 공유하세요.
• 풀 요청 제출: CONTRIBUTING 가이드라인에 따라 코드를 제공하세요.

결론

환경 전반에서 비밀을 수동으로 관리하는 데 지쳤다면 비밀 로더는 프로세스를 간소화하는 간단하고 효과적인 도구입니다. AWS SSM 및 CloudFormation에서 비밀 정보를 동적으로 가져오면 버전 제어에 노출될 위험 없이 자격 증명을 안전하게 관리할 수 있습니다.

GitHub에서 프로젝트를 확인하고, 유용하다고 생각하시면 GitHub에서 ⭐를 남겨주세요! 귀하의 지원은 프로젝트 성장에 도움이 되며 귀하의 의견을 듣고 싶습니다. 피드백을 보내거나 지속적인 개발에 대한 귀하의 기여를 확인하세요.