ssm parameter 사용 도전기
보안 또는 민감한 데이터를 Amazon ECS 태스크의 컨테이너에 안전하게 전달하려면 어떻게 해야 합니까?
Secrets Manager는 보안 암호당 $0.40/월API 호출 10,000건당 $0.05 과금이 들어갑니다.
(시크릿 매니저가 과금이 들어가는 이유는 수명주기를 관리할 수 있기 때문이라고 합니다)
Parameter Store는 파라미터 10,000개까지 추가 비용 없이 사용할 수 있습니다.
때문에, 제 생각에 과금 측면에서 매리트가 높은 SSM을 사용하기로 했습니다.
프로젝트 진행할 때 ssm 사용 실패를 맛 보았습니다.
valuefrom 안내사항을 보고 역할을 수정하고
혹시 몰라서 ssmfullaccess 정책도 함께 주었습니다.
ssm에 값을 등록하고
단순히 따라가면 적용되겠지 생각했는데 막상 값을 넣고 서비스올렸더니 적용이 안되는 것 같았습니다.
그래서, 프로젝트 끝나고 주말에 ec2 환경으로 들어가서 눈으로 직접 보자고 결심했습니다.
EC2용 클러스터를 생성한 후
생각해두었던 "혹시 Docker의 Secrets관리 방식이 적용될까?"를 확인해보고자 작업정의를 생성했습니다.
ec2에서 컨테이너로 들어가서 export 해봤는데 등록되지 않았습니다..
/run/secrets 디렉토리도 비어있습니다.
자습서를 다시보니 그냥 환경변수에 등록이 된다고 합니다.
간절히 빌면서 고쳐보았는데...
결국 export에 값이 떴습니다. 왜 되는거지...?
그래서 넣고싶었던 변수들을 넣어 봤습니다.
모두 잘 들어가 있더라구요...
혹시나 싶어 AWS SSM 사용가능 유형을 알아봤습니다.
시작 유형이 AWS Fargate인 AWS Fargate 플랫폼 버전 1.3.0 이상을 사용하는 작업
시작 유형이 Amazon Elastic Compute Cloud(Amazon EC2)인 amazon-ecs-agent 버전 1.22.0 이상을 사용하는 컨테이너 인스턴스
왜 안됐던걸까요...?
참고 링크:
https://dev.to/hoangleitvn/07-best-practices-when-using-aws-ssm-parameter-store-6m2
https://aws.amazon.com/ko/blogs/mt/the-right-way-to-store-secrets-using-parameter-store/
DevOps !